Zero-Day-Alarm: Google Chrome wird aktiv angegriffen
Google hat Sicherheitsupdates zur Behebung von sieben Sicherheitslücken in seinem Chrome-Browser veröffentlicht, darunter eine Zero-Day-Schwachstelle, die bereits aktiv ausgenutzt wurde.
Die Sicherheitslücke mit der Bezeichnung CVE-2023-6345 wurde als Integer-Überlauf in Skia, einer Open-Source-2D-Grafikbibliothek, beschrieben. Wie üblich bestätigte der Google, dass „ein Exploit für CVE-2023-6345 in freier Wildbahn existiert“, gab aber keine weiteren Informationen über die Art der Angriffe und die Bedrohungsakteure preis, die die Schwachstelle in realen Angriffen nutzen könnten.
Google hat bereits im April 2023 Patches für einen ähnlichen Integer-Überlauf-Fehler in derselben Komponente (CVE-2023-2136) veröffentlicht, der ebenfalls als Zero-Day aktiv ausgenutzt wurde. CVE-2023-2136 soll es „einem entfernten Angreifer, der den Renderer-Prozess kompromittiert hat, ermöglicht haben, über eine manipulierte HTML-Seite eine Sandbox-Escape durchzuführen“.
Mit dem jüngsten Update hat das Unternehmen seit Anfang des Jahres insgesamt sechs Sicherheitslücken in Chrome geschlossen:
- CVE-2023-2033 (CVSS-Score: 8.8) – Typenverwechslung in V8
- CVE-2023-2136 (CVSS-Punktzahl: 9.6) – Ganzzahliger Überlauf in Skia
- CVE-2023-3079 (CVSS-Punktzahl: 8.8) – Typenverwechslung in V8
- CVE-2023-4863 (CVSS-Punktzahl: 8.8) – Heap-Pufferüberlauf in WebP
- CVE-2023-5217 (CVSS-Punktzahl: 8.8) – Heap-Pufferüberlauf in der vp8-Kodierung in libvpx
Benutzern wird empfohlen, auf Chrome Version 119.0.6045.199/.200 für Windows und 119.0.6045.199 für macOS und Linux zu aktualisieren, um mögliche Bedrohungen zu entschärfen. Benutzern von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi wird ebenfalls empfohlen, die Korrekturen anzuwenden, sobald sie verfügbar sind.