2020
12.11
Google Chrome 86 – Erneut mehrfach Sicherheitslücken geschlossen

Auf das Chrome-Sicherheitsupdate vom 9. November hat Google am gestrigen Mittwoch gleich ein weiteres folgen lassen. Es beseitigt zwei Sicherheitslücken aus den Browser-Ausgaben für Windows, Linux und macOS, die bereits aktiv ausgenutzt werden. Anwender sollten sicherstellen, dass auf ihrem System zeitnah die abgesicherte Version 86.0.4240.198 eingespielt wird. Das Chrome-Team will sie in den kommenden Tagen und Wochen verfügbar machen. Übrigens steht auch für den Chromium-basierten Edge ein Update bereit, das vorerst allerdings nur die zum 9. November aus Chrome beseitigte Lücke schließt. Wir widmen dem Edge-Update im Laufe des Vormittags eine separate Meldung.

Wie gewohnt enthält die von Google veröffentlichte Release-Ankündigung zur neuen Chrome-Version nur wenige Informationen über die Lücken. Öffentlichen Zugriff auf die Bugtracker-Einträge gibt es erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden. Beide Sicherheitslücken (CVE-2020-16013 / “ Inappropriate implementation in V8″, CVE-2020-16017 / „Use after free in site isolation“) wurden gemäß CVSS mit „High“ bewertet. Laut Google existieren Exploits in freier Wildbahn; Details zur Vorgehensweise oder zum Umfang aktiver Angriffe nennt das Unternehmen aber nicht.

Die Frequenz, mit der Google gegen aktiv ausgenutzte (vormalige) „Zero-Days“ nachbessern muss, ist derzeit auffallend hoch. So berichteten wir erst Anfang vergangener Woche über versuchte Sandbox-Ausbrüche und Schadcode-Infektionen mittels zweier Sicherheitslücken. Zuvor wurde Ende Oktober eine „High“-Lücke in der FreeType-Bibliothek attackiert. Anwender sollten somit besonders aufmerksam nach neuen Versionen Ausschau halten und diese jeweils zeitnah installieren.

Quelle: Heise

zurück