Google behebt gefährlichen Chrome-Fehler
Google hat Sicherheitsupdates veröffentlicht, um eine schwerwiegende Sicherheitslücke in seinem Chrome-Browser zu beheben. Diese Schwachstelle wird bereits aktiv ausgenutzt. Die als CVE-2024-7971 verfolgte Lücke ist ein sogenannter „Type Confusion“-Fehler in der V8 JavaScript- und WebAssembly-Engine.
Laut der Beschreibung in der National Vulnerability Database (NVD) des US-amerikanischen National Institute of Standards and Technology (NIST) ermöglichte „Type Confusion in V8 in Google Chrome vor Version 128.0.6613.84 einem entfernten Angreifer, durch eine manipulierte HTML-Seite einen Speicherfehler auszunutzen.“
Das Microsoft Threat Intelligence Center (MSTIC) und das Microsoft Security Response Center (MSRC) haben die Schwachstelle entdeckt und am 19. August 2024 gemeldet.
Weitere Details über die Art der Angriffe oder die Identität der Angreifer wurden nicht veröffentlicht, um sicherzustellen, dass die meisten Nutzer das Update einspielen können. Google gab jedoch in einer kurzen Erklärung zu, dass es von einem in freier Wildbahn existierenden Exploit für CVE-2024-7971 weiß. Es ist erwähnenswert, dass dies bereits die dritte aktiv ausgenutzte „Type Confusion“-Schwachstelle in V8 in diesem Jahr ist, nach CVE-2024-4947 und CVE-2024-5274.
Seit Anfang 2024 hat Google insgesamt neun Zero-Day-Schwachstellen in Chrome behoben, darunter drei, die beim Pwn2Own 2024-Wettbewerb demonstriert wurden:
- CVE-2024-0519 – Speicherzugriff außerhalb der Grenzen in V8
- CVE-2024-2886 – Use-after-free in WebCodecs (beim Pwn2Own 2024 demonstriert)
- CVE-2024-2887 – Type Confusion in WebAssembly (beim Pwn2Own 2024 demonstriert)
- CVE-2024-3159 – Speicherzugriff außerhalb der Grenzen in V8 (beim Pwn2Own 2024 demonstriert)
- CVE-2024-4671 – Use-after-free in Visuals
- CVE-2024-4761 – Schreibzugriff außerhalb der Grenzen in V8
- CVE-2024-4947 – Type Confusion in V8
- CVE-2024-5274 – Type Confusion in V8
Nutzern wird empfohlen, auf die Chrome-Version 128.0.6613.84/.85 für Windows und macOS sowie auf die Version 128.0.6613.84 für Linux zu aktualisieren, um potenzielle Bedrohungen zu mindern.
Auch Anwender von auf Chromium basierenden Browsern wie Microsoft Edge, Brave, Opera und Vivaldi sollten die Updates installieren, sobald sie verfügbar sind.
Weitere Meldungen zum Thema: