Mit einem außertourlichen Update aus gegebener Dringlichkeit hat Google auf neuentdeckte Sicherheitslecks in seinem Webbrowser Chrome reagiert. Seit kurzem steht Version 89.0.4389.128 für Windows, macOS und Linux zur Verfügung.

Ältere Ausgaben der Software sollten sich automatisch aktualisieren, wenn man sie neu startet. Alternativ ist die Aktualisierung auch über das Installationspaket möglich, das auf der offiziellen Website heruntergeladen werden kann.

Javascript- und Speicherleck

Eines der beiden Lecks betrifft die unzureichende Prüfung von nicht als vertraulich eingestuftem Javascript-Code, die ein Angreifer als Einfallstor nutzen kann. Zwei Sicherheitsforscher hatten das Leck beim Pwn2Own-Security-Wettbewerb vergangene Woche offengelegt. Es gibt bereits aktive Angriffe, die damit operieren.

Google hatte bereits zuvor das Update vorbereitet. Ein anderer Sicherheitsforscher veröffentlichte am Wochenende allerdings einen funktionierenden Exploit für die Schwachstelle, was den Release des Patches beschleunigt haben dürfte.

Die zweite Lücke betrifft Blink, die Engine, auf der Chrome basiert. Hier kann ein Angreifer über gerade von Chrome freigegebenen Arbeitsspeicher Schadcode ins System einschmuggeln. Auch sie wurde laut Google bereits für Angriffe ausgenutzt. (gpi, 14.4.2021)