In der Nacht zum Samstag hat Google ein ungeplantes Sicherheitsupdate für den Webbrowser Google Chrome veröffentlicht. Es schließt eine hochriskante Sicherheitslücke, die bereits aktiv angegriffen wird. Die Lücke, für die in freier Wildbahn ein Exploit existiert, wie Google es in der Release-Meldung formuliert, betrifft die JavaScript-Engine V8. Aufgrund einer sogenannten Type Confusion können Angreifer potenziellen Opfern offenbar Schadcode unterjubeln, und das relativ einfach (CVE-2022-4262). Daher stuft Google die Schwachstelle als „hohes“ Risiko ein. Eine Type-Confusion-Lücke entsteht dann, wenn im Programmcode Zugriffe auf Ressourcen mit einem inkompatiblen Datentyp erfolgen. Dabei können etwa Speicherbereiche fälschlicherweise überschrieben werden. Genau das passiert auch laut CVE-Eintrag: Angreifer können mit präparierten Webseiten eine Speicherverwürfelung auf dem Heap auslösen. Mit der Aktualisierung auf Google Chrome 108.0.5359.79 für Android, 108.0.5359.94 für Linux und Mac sowie 108.0.5359.94/.95 für Windows beheben die Entwickler diesen sicherheitsrelevanten Fehler. Da das automatische Update laut Google in den kommenden Tagen bis Wochen verteilt wird, sollten Chrome-Nutzer die Aktualisierung besser manuell anstoßen. Die Prüfung der aktuell laufenden Version von Chrome beginnt mit einem Klick auf das Einstellungsmenü von Chrome, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende des Menüs geht es dann weiter über die Einträge „Hilfe“, um anschließend auf „Über Google Chrome“ zu klicken. Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen. Da die JavaScript-Engine V8 auch im Chromium-Browser zum Einsatz kommt, steht auch für andere Chromium-basierte Webbrowser wie Microsofts Edge in Kürze sehr wahrscheinlich eine Aktualisierung an. Nutzerinnen und Nutzer sollten sie aufgrund des Exploits in freier Wildbahn zügig installieren. Zum Mittwoch der Woche hatte Google erst die Aktualisierung auf den 108er-Entwicklungszweig herausgegeben. Vorrangig war auch hier das Schließen von 28 Sicherheitslücken. Neue Funktionen für Endnutzer gab es dabei nicht.