Neu veröffentlichte Versionen des Webbrowsers Google Chrome schließen eine Sicherheitslücke in der JavaScript-Engine V8. Es steht zu vermuten, dass Edge und Chromium ebenfalls betroffen sind.
Nur kurz nach der Aktualisierung auf die erste dreistellige Version 100 haben die Google-Entwickler des Webbrowsers Chrome eine neue Fassung veröffentlicht, die eine Sicherheitslücke schließt. Erneut ist die JavaScript-Engine V8 betroffen. Das Risiko durch diese Lücke stuft Google als hoch ein.
Die Version 100.0.4896.75 steht für die Betriebssysteme Linux, Mac und Windows bereit und soll automatisch im Laufe der kommenden Tage und Wochen verteilt werden. Die damit geschlossene Sicherheitslücke, welche die Entwickler damit schließen, ist wieder einmal vom Typ „Type Confusion“ (CVE-2022-1232, Risiko hoch).
Wie immer gibt es (noch) keine Details
Leider fehlen wie üblich noch nähere Details zu der Schwachstelle. Die Lücke wurde vom Mitarbeiter Sergei Glazunov von Googles Project Zero gemeldet. Bei einer Type Confusion prüft die Software den Typ von übergebenen Daten nicht korrekt.
Dabei können Daten dann falsch interpretiert oder zum Beispiel wegen fehlender Typumwandlung in unterschiedlich große Datenstrukturen umkopiert werden, was dann auch Pufferüberläufe erzeugen kann, die etwa in Kombination mit einer Use-after-Free-Schwachstelle zur Ausführung untergeschobenenen Schadcodes missbraucht werden kann.
Anders als bei dem Notfall-Update von Chrome vor etwas über einer Woche ist aktuell noch kein Schadcode in freier Wildbahn gesehen worden, der die Lücke zum Kompromittieren von Rechnern missbraucht. In ihrer Meldung im Chrome-Release-Blog schreiben die Entwickler, dass auch der Extended Stable Release auf die Version 100.0.4896.75 gebracht wurde.
Edge und Chromium wahrscheinlich auch betroffen
Google schreibt zwar nicht, dass auch andere Browser von der Schwachstelle betroffen sind. Allerdings ist die JavaScript-Engine V8 auch im Chromium-Projekt und im Chromium-basierten Microsoft Edge enthalten. Hier dürften deshalb in Kürze ebenfalls Aktualisierungen herauskommen, weil die Sicherheitslücke auch diese Browser betreffen dürfte.
Für eine umgehende Aktualisierung können die Benutzer auf das „drei-Punkte-Menü“ oben rechts neben der Adressleiste klicken und dort „Hilfe“ und dann „Über Google Chrome“ aufrufen. Entweder wird dann dort schon die aktuelle Versionsnummer angezeigt, oder der Vorgang stößt den Download mit nachfolgender Installation des Updates an.
