Chrome 118: Google schließt schwerwiegende Sicherheitslücke

Google hat mit Version 118 die wöchentliche Aktualisierung seines Browsers Chrome freigegeben, die vor allem zwei Schwachstellen schließt, von denen eine mit einem sehr hohen Bedrohungspotential für Nutzer verbunden sein soll.

Mit genaueren Angaben zu den Lücken hält sich Google in seinen Release Notes in gewohnter Manier zurück. Die Entwickler wollen potenziellen Angreifern dadurch keine zusätzlichen Hinweise auf Schwachstellen geben, die diese für ihre Angriffe nutzen können und gleichzeitig Anwendern genügend Zeit für das Update einräumen.

Schwerwiegendes Sicherheitsproblem

Google gibt zumindest an, dass eine der Lücken (CVE-2023-5472) mit einem hohen Risiko für Nutzer verbunden ist. Das Update behebt bei dieser eine Use-After-Free-Lücke in der Profile-Komponente. Use-After-Free (UAF) beschreibt eine Schwachstelle, bei der eine fehlerhafte Nutzung von dynamischem Speicher während der Programmausführung auftritt. Wird nach dem Beenden des Programms nur der genutzte Speicherplatz, aber nicht der auf diesen verweisenden Zeiger gelöscht, deutet dieser auf Ressourcen, die nicht mehr vorhanden sind. Diesen Umstand machen sich Angreifer zunutze, um sich über kompromittierte Websites Zugang zum System zu verschaffen und um über die Lücke Schadcode einzuspielen.

Die weitere Fehlerbehebung wird lediglich mit „verschiedene Korrekturen aus internen Audits, Fuzzing und anderen Initiativen“ beschrieben.

Neue Versionen stehen bereit

Aufgrund der Schwere der Lücke wird ein schnellstmöglicher Umstieg auf die bereinigte Version angeraten. Diese stehen mit Version 118.0.5993.117/.118 für Windows sowie 118.0.5993.117 für Linux und macOS bereit. Auch Googles eigenes mobiles OS Android wurde mit einer neuen Version bedacht, hier steht 118.0.5993.111 (Release Notes) im Play Store bereit – iOS dürfte in Kürze folgen, wird aber in Googles Übersicht noch nicht aufgeführt.

Auch Nutzer des Extended Stable Channel, bei dem Funktionsaktualisierungen für gewöhnlich alle acht Wochen ausgeliefert werden, erhalten die Fehlerbehebungen, hier steht Chrome 118.0.5993.118 für Windows und 118.0.5993.117 für Mac bereit.

Auch Chromium betroffen

Da die Sicherheitslücken auch Googles Chromium-Projekt betreffen, sollten Nutzer entsprechender Browser wie Microsoft Edge, Opera oder Vivaldi die Update-Funktion ebenfalls im Blick behalten, mit entsprechenden neuen Versionen dürfte in Kürze zu rechnen sein.

Das Aufspielen der neuen Chrome-Version kann in den jeweiligen Einstellungen angestoßen oder bequem über den Link am Ende des Artikels aus dem Download-Archiv von ComputerBase geladen und manuell installiert werden.