Google hat die stabile Version seines Webbrowsers Chrome für Windows, macOS und Linux auf Version 86.0.4240.111 upgedatet. Mit dieser neuen Version werden fünf Sicherheitslücken geschlossen, vier davon stellen nach Einschätzung der Entwickler ein hohes Sicherheitsrisiko für die Benutzer dar.

Eine von den geschlossenen Lücken wird eine laut Googles Project Zero schon aktiv von Angreifern ausgenutzt. Deshalb sollten die Nutzer nach dem Update schauen, das in den kommenden Tagen und Wochen verteilt werden soll.

Sicherheitslücke in FreeType abgedichtet

Wie üblich haben die Entwickler dieSchwachstellen und die Security-Fixes in einem aktuellen Blogeintrag zum Chrome Stable Channel Update dokumentiert, die externe Sicherheitsforscher entdeckt und gemeldet hatten.

Mit genaueren Details zu den Lücken CVE-2020-16000 in der Blink Browser-Engine, CVE-2020-16001 (“Use after free in media”), CVE-2020-16002 in PDFium, CVE-2020-15999 in FreeType sowie zur einzigen “Medium”-Lücke CVE-2020-16003 (“Use after free in printing”) hält sich der Blogeintrag wie immer sehr zurück: Zugriff auf Details der Sicherheitslücken gibt es erst, wenn die meisten Benutzer das Update installiert haben. So soll das Risiko aktiver Angriffe auf noch nicht dagegen geschützte Systeme verkleinert werden.

Über die Lücke CVE-2020-15999 in der Programmbibliothek FreeType finden solche Angriffe allerdings wohl aktuell schon statt. Auf Twitter teilte Project Zero-Mitarbeiter Ben Hawkes mit, dass die Chrome-Entwickler sehr schnell auf die Warnung des Teams reagiert hätten. Der Bugfix sei auch schon in FreeType eingeflossen. Die neue, abgesicherte Version 2.10.4 ist seit Kurzem verfügbar und sollte von Entwicklern im Rahmen ihrer Projekte genutzt bzw. aktualisiert werden.

Nähere Details zur Angriffsstrategie oder Hinweise, wie sich die Nutzer verwundbarer Browser-Versionen schützen könnten, nannte Hawkes auch nicht.

Update von Microsoft Edge steht noch aus

Solche Sicherheitsupdates für den Chromium-basierten Edge kommen häufig kurz nach den Chrome-Updates heraus. Aktuell hat Microsoft aber noch nichts dazu veröffentlicht. Nutzer von Microsofts Browser Edge sollten dazu die Release Notes für Edge Security Updates und Microsofts Security Advisory zu den Chromium Security Updates verfolgen.