Im Webbrowser Chrome schließt Google mit einer aktualisierten Version sechs hoch riskante Sicherheitslücken. Angreifer könnten arglosen Opfern dadurch möglicherweise bereits beim Besuch präparierter Webseiten Schadcode unterschieben – das legen die gezahlten Prämien für die Fehlermeldungen zumindest nahe. Wie üblich nennt Google in der Versionsankündigung keine Details zu den Schwachstellen. Es finden sich dort jedoch kurze Zusammenfassungen zur betroffenen Komponente. Anders als bei einem Chrome-Update in der vergangenen Woche listen die Entwickler jetzt sogar zu allen sechs angekündigten Fehlerbehebungen die betroffenen Browser-Module auf. Die schwerwiegendste Sicherheitslücke war Google 15.000 US-Dollar Belohnung wert. Dabei handelt es sich um eine sogenannte Use-after-free-Schwachstelle in der 2D-Grafikbibliothek Skia (CVE-2022-3445). Bei so einer Lücke greift der Programmcode fälschlicherweise auf Zeiger oder Speicherbereiche zu, die bereits wieder freigegeben wurden und daher zunächst undefinierte Inhalte enthalten. Dies führt in der Regel zu einem Absturz, oftmals lässt sich dadurch jedoch sogar eingeschmuggelter Schadcode ausführen. Für das Melden eines Heap-basierten Pufferüberlaufs in der WebSQL-Komponente des Webbrowsers erhielten die Entdecker immerhin noch 13.000 US-Dollar (CVE-2022-3446). Ein hohes Risiko geht auch von einer unangemessenen Implementierung der Custom Tabs aus (CVE-2022-3447). Drei weitere Schwachstellen mit hohem Risiko sind allesamt vom Typ Use-after-free und betreffen die Browser-Komponenten Permissions API, Safe Browsing sowie Peer Connection (CVE-2022-3448, CVE-2022-3449, CVE-2022-3450). Die jetzt aktuelle stabile Version 106.0.5249.119 von Chrome für Linux, Mac und Windows enthält die Schwachstellen nicht mehr. Die aktualisierte extended stable-Fassung für Mac und Windows trägt dieselbe Versionsnummer. Unter Android lautet der neue Stand hingegen 106.0.5249.118. Der aktuelle Stand des Webbrowsers lässt sich durch Aufruf des Einstellungs-Menüs mittels der Schaltfläche mit den drei Punkten rechts von der Adresszeile, dort dann weiter unter „Hilfe“ – „Über Google Chrome“ herausfinden. Gegebenenfalls startet das das Herunterladen und Installieren der Aktualisierung und bietet dann den nötigen Browser-Neustart an. Smartphone-Nutzer müssen im App-Store ihres Systems nach Aktualisierungen suchen lassen. Linux-Anwender finden in der Regel bei der distributionseigenen Paketverwaltung die aktualisierten Pakete. Die Schwachstellen betreffen in der Regel auch den zugrundeliegenden Chromium-Webbrowser. Daher dürften die Anbieter darauf basierender Webbrowser wie Microsoft mit Edge ebenfalls in Kürze aktualisierte Software-Pakete veröffentlichen. Auch hier sollten Nutzer zügig auf bereitstehende Updates prüfen.