Entwickler schließen 37 Sicherheitslücken in Chrome 97
(Bild: Carlo Toffolo/Shutterstock.com)
Die Vorgängerversion von Chrome 97 enthielt mindestens eine kritische Sicherheitslücke. Angreifer hätten vermutlich eingeschleusten Code ausführen können.
Von 37 Sicherheitslücken, die im Webbrowser Chrome in Version 97.0.4692.71 abgedichtet wurden, stuft Google wenigstens eine als kritisch ein. Mindestens zehn weitere Lücken erachtet das Unternehmen als hohes, weitere zehn als mittleres und drei als niedriges Risiko. In der Release-Meldung listet Google explizit 24 von externen Sicherheitsforschern gemeldete Schwachstellen mit ihrem Schweregrad auf. Zu den weiteren 13 Sicherheitslecks hält sich Google noch mehr bedeckt.
Generell bleibt Google mit Details zu den geschlossenen Sicherheitslücken äußerst sparsam. Lediglich eine sehr knappe Zusammenfassung und Risikoeinschätzung nennt der Hersteller. Daraus lassen sich nur grobe Rückschlüsse ziehen. So hätten Angreifer vermutlich eine Use-after-free-Lücke in Storage, einer API für Funktionen zum Speichern von Daten, zum Einschleusen von Schadcode missbrauchen können. Dies legt die Risikoeinschätzung "kritisch" zumindest nahe.
Kaum Details bekannt
Mit hohem Risiko eingestufte Use-after-free-Schwachstellen finden sich etwa in den Screen-Capture-Routinen, Sign-in, Swift-Shader, PDF und Autofill. Auch hier lässt sich vermuten, dass Angreifer sie zur Ausführung von Schadcode missbrauchen hätten können. Außerdem fanden Sicherheitsforscher Heap-Pufferüberläufe mit hohem Risiko und somit wahrscheinlich ähnlichem Schadpotenzial, etwa in den Komponenten Media Streams API, Bookmarks oder ANGLE (einer Grafik-Engine-Abstraktionsschicht).
Weitere Stichpunkte zu den geschlossenen Lücken listen die Entwickler im Google-Chrome-Release-Blog [1] auf. Sie schreiben dort zudem, dass sie weitere Fehlerbehebungen für Schwachstellen implementiert haben, die sie in internen Audits, mittels Fuzzing und anderen Initiativen gefunden hätten. Damit meinen sie wahrscheinlich die in der obigen Aufzählung fehlenden 13 Sicherheitslücken.
Jetzt aktualisieren
Um zu überprüfen, ob bereits die aktuelle Chrome-Version läuft, öffnet ein Klick auf die drei Punkte oben rechts in der Adresszeile das Browser-Menü. Unter "Hilfe" führt der Klick auf "Über Google Chrome" zum Versionsdialog. Hier steht entweder die aktuelle Version, oder der Download wird dadurch angestoßen. Ist der abgeschlossen, erscheint dort eine Schaltfläche, die zum Browser-Neustart auffordert. Dies sollten Chrome-Nutzer unbedingt zeitnah machen.
URL dieses Artikels:
https://www.heise.de/-6318885
Links in diesem Artikel:
[1] https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop.html
[2] https://www.heise.de/thema/Chrome
[3] mailto:dmk@heise.de
Copyright © 2022 Heise Medien
Artikel von & Weiterlesen ( Entwickler schließen 37 Sicherheitslücken in Chrome 97 - heise online )https://ift.tt/34p7jfD
Wissenschaft & Technik
Bagikan Berita Ini
0 Response to "Entwickler schließen 37 Sicherheitslücken in Chrome 97 - heise online"
Post a Comment