Weitere 0-Day-Sicherheitslücke in Google Chrome behoben

Google hat ein Sicherheitsupdate für seinen Webbrowser Chrome veröffentlicht, um eine weitere 0-Day-Sicherheitslücke zu schließen. Dies ist die zweite 0-Day-Sicherheitslücke, die Google in Chrome in letzter Zeit behoben hat, und das dritte Sicherheitsupdate seit der Veröffentlichung von Chrome 123 am 20. März 2024.

Chrome-Nutzer sollten den Browser umgehend aktualisieren, um ihn vor möglichen Angriffen zu schützen.

Rufen Sie chrome://settings/help auf dem Desktop auf, um herauszufinden, ob Chrome auf dem neuesten Stand ist. Chrome ist auf dem neuesten Stand, wenn Sie eine der folgenden Versionen sehen: 123.0.6312.105, 123.0.6312.106, oder 123.0.6312.107.

Beachten Sie, dass dies nur auf Desktop-Systemen funktioniert. Aktualisierungen für Chrome für Android werden von Google Play verwaltet.

0-Tage-JavaScript-Sicherheitslücke

Die Sicherheitslücke wurde der Öffentlichkeit erstmals im März 2024 während des Pwn2Own-Hacking-Wettbewerbs gezeigt. Den Sicherheitsforschern Edouard Bochin und Tao Yan gelang es, Chrome und auch Microsoft Edge während des Wettbewerbs mit dem Exploit auszunutzen. Dies brachte ihnen während des Wettbewerbs ein Preisgeld von 42500 Dollar ein. Laut der offiziellen Ankündigung nutzte der Exploit ein Out-of-Bounds-Read "plus eine neuartige Technik", um die V8-Absicherung zu umgehen und beliebigen Code im Renderer auszuführen.

Andere Chromium-basierte Webbrowser sind ebenfalls von dem Problem betroffen, da es eine gemeinsame Komponente betrifft. Einige der Browser wurden möglicherweise bereits als Reaktion auf die gemeldete Sicherheitslücke aktualisiert.

Der Pwn2Own-Wettbewerb ist dafür berüchtigt, dass er Sicherheitslücken in allen möglichen Produkten findet und ausnutzt. Seitdem der Hacking-Wettbewerb seine Pforten geöffnet hat, gehören Browser zu den vorrangigen Zielen.

Browser sind ein lukratives Ziel, da erfolgreiche Exploits eine Vielzahl von Möglichkeiten eröffnen. Das reicht von der Extraktion von Daten und der Manipulation von Inhalten in Browsern bis hin zum Diebstahl von Cookies oder Passwörtern.

Auch Mozilla und Microsoft haben sich mit 0-Day-Sicherheitslücken in Firefox und Edge befasst, da auch diese Browser während des Wettbewerbs ausgenutzt wurden.
Google kündigte diese Woche ein neues Projekt an, um den Diebstahl von Cookies zu verhindern. Das Unternehmen hofft, dass dieses Projekt zu einem neuen Webstandard wird. Im Kern geht es darum, Cookies an das System zu binden, auf dem sie erstellt wurden.