Google behebt dritte Chrome Zero-Day-Sicherheitsanfälligkeit innerhalb einer Woche

Google hat am Montag ein Notfall-Sicherheitsupdate für seinen Chrome-Browser veröffentlicht, um eine neue Zero-Day-Sicherheitsanfälligkeit zu beheben, die in der Wildnis ausgenutzt wurde.

Dies ist die dritte ausgenutzte Chrome-Zero-Day-Sicherheitsanfälligkeit, die innerhalb einer Woche gepatcht wurde, und die siebte Zero-Day-Ausnutzung, die in diesem Jahr Chrome-Nutzer betrifft.

Die Sicherheitsanfälligkeit, die die CVE-Identifikationsnummer „CVE-2024-4947“ zugewiesen bekam, betraf die Typverwirrung im V8-JavaScript und die WebAssembly-Engine in Google Chrome, einem wichtigen Bestandteil, der für das Ausführen von Webanwendungen und Websites verantwortlich ist.

Diese hochgradige Zero-Day-Sicherheitsanfälligkeit kann besonders gefährlich sein.

Sie ermöglicht es einem Angreifer, beliebigen Code innerhalb einer Sandbox über eine manipulierte HTML-Seite auszuführen, was möglicherweise sensible Daten gefährdet und die Kontrolle über die angegriffenen Geräte übernimmt.

Der Fehler wurde von den Kaspersky-Forschern Vasily Berdnikov und Boris Larin identifiziert und am 13. Mai 2024 an Google gemeldet.

„Google ist sich bewusst, dass ein Exploit für CVE-2024-4947 in der Wildnis existiert“, schrieb der Suchgigant in einem Sicherheitsbericht, der am Mittwoch veröffentlicht wurde.

Das Unternehmen hat die Zero-Day-Sicherheitsanfälligkeit schnell mit der Veröffentlichung von Chrome 125.0.6422.60 (Linux) und 125.0.6422.60/.61 (Windows, Mac) behoben, die mehrere Fehlerbehebungen und Verbesserungen für die Browser mit sich bringt.

Die neuen Versionen werden voraussichtlich in den kommenden Tagen und Wochen im Rahmen eines stabilen Kanalupdates an alle Benutzer verteilt.

Obwohl Google bestätigt hat, dass die CVE-2024-4947-Sicherheitsanfälligkeit in der Wildnis ausgenutzt wurde, hat das Unternehmen keine weiteren Informationen über diese Angriffe bereitgestellt, um eine weitere Ausnutzung durch andere Cyberkriminelle zu vermeiden.

„Der Zugang zu Fehlerdetails und Links kann eingeschränkt bleiben, bis die Mehrheit der Benutzer mit einem Fix aktualisiert wurde. Wir werden auch Einschränkungen beibehalten, wenn der Fehler in einer Drittanbieterbibliothek existiert, von der auch andere Projekte abhängen, die jedoch noch nicht behoben wurden“, sagte Google.

Obwohl Chrome automatisch aktualisiert wird, wenn Sicherheitsupdates verfügbar sind, wird den Benutzern empfohlen, manuell auf die Chrome-Version 125.0.6422.60 für Linux und die Version 125.0.6422.60/.61 für Windows und macOS zu aktualisieren, um sich vor möglichen Cyberangriffen zu schützen.