Browser-Update: Google schließt sieben Schwachstellen in Chrome 123

Google hat sich beim neuen Update für seinen Chrome-Browser hauptsächlich der Produktpflege gewidmet und dabei sieben Sicherheitslücken geschlossen, von denen eine als kritisches eingestuft und vier weitere mit einem hohen Risikopotenzial versehen wurden.

Wie immer halten sich die Entwickler bei den Fehlerbeschreibungen in den Security-Notes sehr bedeckt. Das hat bei Google Tradition, die Entwickler wollen dadurch allen Nutzern genügend Zeit verschaffen, auf die neue Version zu wechseln. Die Einschränkungen werden zudem beibehalten, wenn die Schwachstellen auch in einer Bibliothek eines Drittanbieters vorhanden sind, die aber noch nicht behoben wurden. Zumindest wurden einige vage Hinweise auf extern gefundene Lücken veröffentlicht.

Kritische Lücke geschlossen

So findet sich eine als kritisch eingestufte Use-after-free-Lücke in der Angle-Komponente von Chrome, die als WebGL-Engine dient. Über manipulierte Web-Seiten können Angreifer mit geringem Aufwand schadhaften Code in Speicherbereiche platzieren und auch ausführen, obwohl diese bereits freigegeben wurden. Etwas weniger gefährlich, aber dennoch mit einem hohen Sicherheitsrisiko versehen, finden sich zwei weitere Lücken des gleichen Typs in den Programmkomponenten Dawn und WebCodecs. Bei diesen fällt der Aufwand für Angreifer etwas größer aus, womit das Ausnutzen für die Experten bei Google etwas weniger wahrscheinlich scheint als die als kritisch eingestufte Lücke.

Im Programmteil WebAssembly können Unbefugte über eine Type Confusion, bei der die Schwachstelle einen Fehler in der Datentypenbehandlung ausnutzt, ebenfalls Zugriff auf die Speicherbereiche und über entsprechenden Code auch auf das System erhalten werden. Auch diese Lücke ist mit einer hohen Bedrohung versehen.

Neue Versionen stehen bereit

Nutzer sollten daher wie immer zügig auf die aktuelle Chrome-Version wechseln. Für Windows- und macOS-Nutzer steht dafür ab sofort Version 123.0.6312.86/.87 bereit, Linux-Nutzer wechseln auf Version 123.0.6312.86. Für Android steht hingegen Chrome 123.0.6312.80 zur Verfügung. Windows- und macOS-Nutzer, die Chrome mit erweitertem Support setzen, können stattdessen auf Version 122.0.6261.148 wechseln. Da die gefundenen Lücken auch die Chromium-Linie betreffen, dürften entsprechende Browser wie unter anderem Microsofts Edge in den nächsten Tagen ebenfalls mit neuen Versionen aufwarten.

Google wird das Update wie üblich in Wellen verteilen, sodass es einige Zeit dauern kann, bis alle Nutzer die Benachrichtigung für die neue Version erhalten. Der Vorgang kann darüber hinaus auch manuell in den Einstellungen angestoßen werden. Alternativ kann die neue Chrome-Version ebenso über den Link am Ende dieses Artikels aus dem Download-Bereich von ComputerBase geladen werden.