Google hat mit seinem Browser-Update 100.0.4896.60 für Google Chrome 28 Schwachstellen behoben. Mindestens 9 davon – neben der Sicherheitslücke CVE-2022, die Google erst vor wenigen Tagen mit einem separaten Update gepatcht hat – wurden als kritisch eingestuft. Insgesamt haben die Chrome-Entwickler in weniger als einer Woche Patches für 10 Sicherheitslücken mit hohem Schweregrad veröffentlicht. Sollten Sie Ihren Computer und/oder Browser seit geraumer Zeit nicht mehr neu gestartet haben, ist es an der Zeit für ein Update.
Sicherheitslücke CVE-2022-1096
Weitere Details zu den Schwachstellen hat Google bislang nicht veröffentlicht – gemäß der Sicherheitsrichtlinie des Unternehmens sind detaillierte Beschreibungen der Bugs zunächst nur eingeschränkt zugänglich, bis die Mehrheit der aktiven Chrome-Nutzer ihren Browser aktualisiert hat. Aber schon jetzt ist klar, dass die Sicherheitslücke CVE-2022-1096 echte Probleme verursachen könnte. Google hatte diese am vergangenen Freitag, den 25. März, nur vier Tage vor dem offiziellen Update bereits mit einem separaten Patch gefixt.
CVE-2022-1096 gehört zur Kategorie Type Confusion, was bedeutet, dass die Schwachstelle mit einem Fehler in der Datentypenbehandlung in der V8-Engine verbunden ist. Gemessen an der Tatsache, dass Google diesen Bug bereits in einem separaten Notfall-Patch behoben hat, kann die Sicherheitslücke als kritisch katalogisiert werden. Den im Rahmen der Versionshinweise veröffentlichten Informationen zufolge war Google bereits am 25. März bekannt, dass ein Exploit für diese Schwachstelle existierte. Am nächsten Tag behob Microsoft die erwähnte Schwachstelle in seinem Chromium-basierten Edge-Browser. Fasst man die verfügbaren Informationen zusammen, ist davon auszugehen, dass ein Exploit für die Schwachstelle nicht nur existiert, sondern von Angreifern aktiv genutzt wird.
28 weitere Schwachstellen
Von den 28 Sicherheitslücken, die durch das neueste Update behoben werden, wurden die meisten (20) von unabhängigen Forschern und die restlichen acht von Googles internen Experten entdeckt. Von den neun Schwachstellen, die als kritisch eingestuft werden, gehören vier (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) zur Kategorie Use-After-Free (UAF). Drei weitere Anfälligkeiten (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) beziehen sich auf die unangemessene Implementierung in verschiedenen Komponenten; eine weitere (CVE-2022-1130) hängt mit der unzureichenden Validierung nicht vertrauenswürdiger Eingaben in der Komponente WebOTP zusammen. Die verbleibende Schwachstelle (CVE-2022-1134), ist, ebenso wie CVE-2022-1096, ein Type Confusion-Problem in der V8-Engine.
So können Sie sich schützen
Zunächst sollten Sie Ihren Browser auf die Version 100.0.4896.60 aktualisieren (Stand: 31. März 2022). Nutzen Sie eine ältere Chrome-Version, wurde Ihr Browser nicht automatisch aktualisiert. In diesem Fall empfehlen wir Ihnen, dies mithilfe unserer Schritt-für-Schritt-Anleitung manuell zu tun. Wenn Sie Microsoft Edge verwenden, vergessen Sie nicht, diesen Webbrowser ebenfalls zu aktualisieren – dies geschieht auf die gleiche Weise wie bei Google Chrome.
Darüber hinaus empfehlen wir Ihnen außerdem, die wichtigsten Programme und Apps, einschließlich Sicherheitslösungen, Browser, Office-Suiten und das Betriebssystem selbst, regelmäßig und vor allem rechtzeitig zu aktualisieren.
Abschließend möchten wir Ihnen den Einsatz einer zuverlässigen Sicherheitslösung ans Herz legen, die Exploit-Versuche von Schwachstellen automatisch erkennt und verhindert. Auf diese Weise schützen Sie sich vor Angriffen, noch bevor offizielle Patches veröffentlicht werden.