Chrome-Webbrowser Update fixt Sicherheitslücken & bringt neue Funktion gegen Cookie-Diebstahl

Das wöchentliche Update für den Chrome-Webbrowser wurde mit leichter Verzögerung von den Entwicklern von Google veröffentlicht. Dabei wurden insgesamt drei hochriskante Sicherheitslücken erfolgreich behoben. Für die Entdeckung der schwerwiegendsten Sicherheitslücke wurde dem Melder eine Belohnung in Höhe von 21.000 US-Dollar ausgezahlt.

Die genaue Beschreibung der Lücke im CVE-Eintrag ist äußerst interessant: Angreifer, die den GPU-Prozess kompromittiert haben, können aus der Schutzsandbox ausbrechen, die das System vor unbefugtem Zugriff schützen soll. Dies kann durch bestimmte, nicht näher erläuterte Gesten in der Benutzeroberfläche geschehen. Dies erinnert einige an eine Werbekampagne: Alles ist mit einem einzigen Wisch weg.

Zwei weitere Sicherheitslücken wurden jeweils mit einer Belohnung von 10.000 US-Dollar honoriert. Durch einen heap-basierten Pufferüberlauf in der Angle-Komponente besteht die Möglichkeit, Schadcode auszuführen. Gemäß dem CVE-Eintrag kann dies durch das Öffnen einer manipulierten HTML-Webseite erreicht werden. Des Weiteren kann eine Use-after-free-Schwachstelle im Dawn-Modul zu einer Störung des Speicherablaufs im Heap führen, was es Angreifern ermöglicht, durch sorgfältig präparierte Webseiten Schadcode einzuschleusen und auszuführen.

Diese sicherheitsrelevanten Fehler wurden in den folgenden Versionen von Chrome behoben: Chrome für Android 123.0.6312.118, Chrome für Linux 123.0.6312.122, Chrome für Mac 123.0.6312.122/.123/.124 und Chrome für Windows 123.0.6312.122/.123. Um zu überprüfen, ob die aktuelle Version bereits im Einsatz ist, kann der Versionsdialog des Webbrowsers über das Einstellungsmenü aufgerufen werden. Das Einstellungsmenü öffnet man, indem man auf das Icon mit den drei vertikal gestapelten Punkten rechts von der Adressleiste klickt, gefolgt von der Auswahl von Hilfe und Über Google Chrome. Falls erforderlich, wird daraufhin der Vorgang zur Aktualisierung gestartet.

Darüber hinaus wurden noch drei weitere Sicherheitslücken im Chrome-Webbrowser von Google behoben. Eine interessante Ankündigung ist, dass die Entwickler gleichzeitig an einer Funktion arbeiten, die den Diebstahl von Session-Cookies wirkungslos machen soll. Mit Device Bound Session Credentials (DBSC) werden authentifizierte Sitzungen an das Gerät gebunden, ähnlich wie bei Passkeys.

Schlagwörter: Google Chrome + Googles + Chrome

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 11. April 2024