Google hat ein Notfall-Update für den Chrome-Browser bereitgestellt, mit dem die folgenden drei Schwachstellen behoben werden: CVE-2021-37974, CVE-2021-37975 und CVE-2021-37976. Google-Experten stufen eine der Schwachstellen als kritisch und die anderen zwei als gefährlich ein.
Das Schlimme daran ist, dass laut Google zwei der drei Schwachstellen bereits aktiv von Cyberverbrechern ausgenutzt werden. Aus diesem Grund empfiehlt Google allen Benutzern ihre Browser-Version auf die Version zu 94.0.4606.71 aktualisieren. Auch andere Chromium-basierte Browser sind von diesen Schwachstellen betroffen – Microsoft empfiehlt den Benutzern beispielsweise Edge auf die 94.0.992.38. zu aktualisieren.
Warum die Schwachstellen in Google Chrome gefährlich sind
Bei CVE-2021-37974 und CVE-2021-37975 handelt es sich um Use-After-Free-Schwachstellen (UAF), die eine inkorrekte Verwendung des dynamischen Speichers ausnutzen, um beliebigen Programmcode auf dem Zielcomputer auszuführen.
Die erste Schwachstelle, CVE-2021-37974 hängt mit einer Komponente von Safe Browsing zusammen, ein Subsystem von Google, das Benutzer vor unsicheren Webseiten und Downloads warnt. Die Schwachstelle erhielt nach dem Common Vulnerability Scoring System (CVSS) v3.1 eine Bewertung von 7,7 aus 10.
Die zweite Schwachstelle, CVE-2021-37975, wurde in der Javascript-Engine V8 von Chrome gefunden. Diese wird als die gefährlichste der drei Schwachstellen eingestuft – sie hat eine CVSS-Bewertung von 8,4 erhalten und zählt dementsprechend zu den kritischen Schwachstellen. Unbekannte Übeltäter nutzen diese Schwachstelle bereits für Angriffe auf Chrome-Benutzer aus.
Der Ursprung der dritten Schwachstelle, CVE-2021-37976, ist ein Informationsleck im Kern von Coogle Chrome. Diese Schwachstelle wird mit einer CVSS-Bewertung von 7,2 als ein bisschen weniger gefährlich eingestuft, allerdings wird auch diese Sicherheitslücke bereits aktiv von Cyberkriminellen ausgenutzt.
Wie Cyberverbrecher diese Schwachstellen ausnutzen können
Für den Exploit aller drei Schwachstellen ist die Erstellung einer schädlichen Webseite erforderlich. Die Angreifer erstellen eine Website mit einem eingebetteten Exploit und dann müssen sie nur noch die Opfer auf die Seite locken. Die Exploits der zwei Use-After-Free-Schwachstellen ermöglichen das Ausführen von beliebigen Programmcode auf den ungepatchten Computern von Chrome-Benutzern, die die schädliche Seite besucht haben. Das kann zur Kompromittierung der Systeme führen. Der Exploit der dritten Schwachstelle, CVE-2021-37976, ermöglicht es den Angreifern Zugriff auf die vertraulichen Daten der Opfer zu erhalten.
Google wird wahrscheinlich mehr Details zu den Schwachstellen bekannt geben, sobald ein Großteil der Benutzer das Update auf die neue Version vollzogen hat. Auf jeden Fall lohnt es sich nicht das Update aufzuschieben – es ist besser, Sie aktualisieren Ihren Browser so schnell wie möglich.
So können Sie sich schützen
Zuerst sollten alle Browser auf Geräten mit Zugang zum Internet aktualisiert werden. Oft wird das Update automatisch aktualisiert, wenn der Browser neu gestartet wird. Allerdings starten viele Benutzer ihre Computer über einen längeren Zeitraum nicht neu und in diesen Fällen sind die Geräte über mehrere Tage hinweg oder sogar wochenlang verwundbar. Wie dem auch sei, wir empfehlen sicherheitshalber die Version von Chrome zu überprüfen. Die Überprüfung geht schnell und einfach: Klicken Sie oben rechts im Browser-Fenster auf das Drei-Punkte-Menü Google Chromeanpassen und verwaltenund wählen SieHilfe-> Über Google Chrome. Wenn die neuste Version noch nicht auf Ihrem Gerät installiert ist, wird Chrome automatisch das Update starten.
Für zusätzlichen Schutz empfehlen wir eine Sicherheitslösung auf allen Geräten zu installieren, die Zugang zum Internet haben. Auf diese Weise werden die proaktiven Schutztechnologien die Möglichkeit eines erfolgreichen Exploits der Schwachstellen minimieren, selbst wenn Ihr Browser nicht auf dem neuesten Stand ist.
Mitarbeiter von IT-Sicherheitsabteilungen in Unternehmen empfehlen wir Sicherheitslösungen auf allen Geräten zu verwenden, die Sicherheitsupdates zu überwachen und automatische Aktualisierungen sowie ein Kontrollsystem einzusetzen. Überdies wäre es vernünftig, die Installation von Browser-Updates zu priorisieren.