Google hat fünf Sicherheitslücken in seinem Chrome-Webbrowser behoben, darunter eine, die angeblich in freier Wildbahn ausgenutzt wird, und ist damit die 17. derartige Schwachstelle seit Jahresbeginn.
Der Fehler, der als CVE-2021-4102 verfolgt wird, bezieht sich auf einen Use-After-Free-Bug in der V8-JavaScript- und WebAssembly-Engine, der schwerwiegende Folgen haben kann, die von der Beschädigung gültiger Daten bis hin zur Ausführung beliebigen Codes reichen können. Einem anonymen Forscher wurde die Entdeckung und Meldung des Fehlers zugeschrieben.
Derzeit ist nicht bekannt, wie die Schwachstelle bei Angriffen in der realen Welt missbraucht wird, aber der Internetgigant gab eine knappe Erklärung ab, in der es heißt: “Es sind Berichte bekannt, dass ein Exploit für CVE-2021-4102 in freier Wildbahn existiert.” Dies geschieht, um sicherzustellen, dass die Mehrheit der Benutzer mit einem Fix aktualisiert wird, und eine weitere Ausnutzung durch andere Bedrohungsakteure zu verhindern.
CVE-2021-4102 ist die zweite Use-after-free-Schwachstelle in V8, die das Unternehmen in weniger als drei Monaten nach Berichten über eine aktive Ausnutzung behoben hat, wobei die vorherige Schwachstelle CVE-2021-37975, die ebenfalls von einem anonymen Forscher gemeldet wurde, geschlossen wurde ein Update, das am 30. September ausgeliefert wurde. Es ist nicht sofort klar, ob die beiden Fehler in einer Beziehung zueinander stehen.
Mit diesem neuesten Update hat Google allein in diesem Jahr einen Rekord von 17 Zero-Days in Chrome behoben —
Chrome-Benutzern wird empfohlen, auf die neueste Version (96.0.4664.110) für Windows, Mac und Linux zu aktualisieren, indem Sie zu Einstellungen > Hilfe > “Über Google Chrome” gehen, um das potenzielle Risiko einer aktiven Ausnutzung zu mindern.