Chrome jetzt aktualisieren: : Google veröffentlicht Patch für aktiv ausgenutzte Zero-Day-Schwachstelle

Entdeckt hat das Problem Clément Lecigne von der Threat Analysis Group (TAG) von Google. Seine Forscherkollegin Maddie Stone berichtete auf X (ehemals Twitter), dass der Bug bereits von einem kommerziellen Spyware-Anbieter missbraucht wurde, um besonders gefährdete Personen anzugreifen.

Der Tech-Gigant hat keine weiteren Details bekannt gegeben, sondern lediglich bestätigt, dass ihm bekannt ist, dass ein Exploit für CVE-2023-5217 in freier Wildbahn existiert. Mit der jüngsten Entdeckung steigt die Zahl der Zero-Day-Schwachstellen in Google Chrome, für die in diesem Jahr Patches veröffentlicht wurden, auf fünf.

• CVE-2023-2033 (CVSS-Score: 8.8) – Typenverwechslung in V8
• CVE-2023-2136 (CVSS-Punktzahl: 9.6) – Integer-Überlauf in Skia
• CVE-2023-3079 (CVSS-Punktzahl: 8.8) – Typenverwechslung in V8
• CVE-2023-4863 (CVSS-Punktzahl: 8.8) – Heap-Pufferüberlauf in WebP

Die Entwicklung fallen mit einem anderen Problem zusammen: Erst kürzlich hat Google der kritischen Schwachstelle in der libwebp-Bildbibliothek, die ursprünglich als CVE-2023-4863 verfolgt wurde, eine neue CVE-Kennung (CVE-2023-5129) zugewiesen.

Benutzern wird empfohlen, auf Chrome Version 117.0.5938.132 für Windows, macOS und Linux zu aktualisieren, um potenzielle Bedrohungen zu entschärfen. Benutzern von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi wird ebenfalls empfohlen, die Updates einzuspielen, sobald sie verfügbar sind. Mozilla hat inzwischen Firefox-Updates veröffentlicht. Damit wurde der Bug in den Versionen Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus für Android 118.1 und Firefox für Android 118.1 behoben.