Google hat soeben in seinem Browser Chrome mehrere Sicherheitslücken geschlossen. Zumindest eine davon stuft der Hersteller als “kritisch” ein. Für eine andere kursiert sogar schon ein Exploit, der auch schon genutzt wird.
Mit einer aktualisierten Programmversion schließt Google teilweise kritische Sicherheitslücken in seinem weit verbreiteten Webbrowser Chrome. Angreifer könnten eine der Lücken schon aktiv in freier Wildbahn missbrauchen, weil der Hersteller von einem veröffentlichten Exploit berichtet. Insgesamt haben die Entwickler elf Schwachstellen geschlossen.
Die sauberen Versionsnummern
Bereinigt sind die Versionen 104.0.5112.101 für Linux und Mac und 104.0.5112.101/102 für Windows. Mit denselben Versionen ist auch die Extended-Stable-Version auf dem aktuellen Stand. Auch für Apples iOS liegt eine Aktualisierung auf 104.0.5112.99 vor.
Ein kritischer Fehler
Wie immer veröffentlicht Google in seiner Update-Meldung noch keine Details zu den Sicherheitslücken. Zu zehn der elf beseitigten Schwachstellen liefern die Entwickler eine knappe Beschreibung der betroffenen Komponenten.
Eine dieser Lücken stufen sie als kritisch ein – sie betrifft das Federated Credential Management (FedCM). Dahinter steckt eine neue Funktion, die datenschutzfreundliche Identitätsbündelung ermöglichen soll, beispielsweise für passwortlose Log-ins (CVE-2022-2852).
Wegen einer unzureichenden Überprüfung nicht vertrauenswürdiger Eingaben reißt die Intents-Komponente ein Sicherheitsleck mit hohem Risiko in den Browser. Für diese Lücke existiert auch schon ein Exploit in freier Wildbahn (CVE-2022-2856). Intents gestattet Web-Apps, sich für bestimmte Aufgaben anzubieten – zum Beispiel als Foto- oder Texteditor.
Insgesamt stuft Google von den elf Lücken wenigstens eine als kritisch, sechs als hohes Risiko und drei als mittleres für die Nutzer ein. Die Bewertung einer der Lücken fehlt.
Den aktuellen Stand sicherstellen
Ob der Browser auf dem aktuellen Stand ist, kann man durch Aufruf des Menüs über die Schaltfläche mit den drei Punkten rechts von der Adresszeile, dort dann weiter unter “Hilfe” – “Über Google Chrome” herausfinden. Unter ‘Umständen startet dann das Herunterladen und Installieren der Aktualisierung und bietet dann den nötigen Browser-Neustart an.
Smartphone-Nutzer sollten den App-Store öffnen und dort Aktualisierungen suchen lassen. Linux-Anwender müssen das Update in der Regel über die distributionseigene Paketverwaltung installieren.
Weil die Schwachstellen in der Regel auch den zugrundeliegenden Chromium-Webbrowser betreffen, dürften die Anbieter darauf basierender Webbrowser wie Microsofts Edge umgehend auch aktualisierte Versionen veröffentlichen. Auch hier sollten die Benutzer zügig auf bereitstehende Updates prüfen.
