Google hat diese Woche ein dringendes Sicherheitsupdate für seinen Chrome-Browser veröffentlicht, um eine kritische Zero-Day-Schwachstelle zu beheben, die bereits aktiv von Angreifern ausgenutzt wurde. Es handelt sich dabei bereits um die neunte Zero-Day-Lücke, die Google in diesem Jahr in Chrome schließen musste – eine besorgniserregende Entwicklung für die Cybersicherheit.
Details zur CVE-2024-7971 Schwachstelle
Die als CVE-2024-7971 klassifizierte Sicherheitslücke wurde in der JavaScript-Engine V8 von Chrome entdeckt. Experten des Microsoft Threat Intelligence Center (MSTIC) und Microsoft Security Response Center (MSRC) identifizierten die Schwachstelle als sogenannten „Type Confusion“-Fehler. Solche Fehler können potenziell zu Abstürzen des Browsers führen oder sogar die Ausführung von Schadcode auf betroffenen Systemen ermöglichen.
Sofortige Schutzmaßnahmen notwendig
Google hat den Fix in den Chrome-Versionen 128.0.6613.84/.85 für Windows und macOS sowie 128.0.6613.84 für Linux implementiert. Sicherheitsexperten empfehlen allen Nutzern dringend, ihre Browser umgehend zu aktualisieren, um sich vor möglichen Angriffen zu schützen. Die automatische Verteilung des Updates an alle Chrome-Nutzer wird in den kommenden Wochen erfolgen.
Weitere Sicherheitsverbesserungen im Update
Neben der kritischen Zero-Day-Lücke wurden im aktuellen Chrome-Update noch weitere Sicherheitsprobleme behoben:
- Eine Use-after-free-Schwachstelle im Passwort-Manager
- Ein Out-of-bounds-Problem in der Skia-Grafikbibliothek
- Ein Heap-Buffer-Overflow in der Schriftenverwaltung
- Eine weitere Use-after-free-Lücke in der Autofill-Funktion
Bug-Bounty-Programm belohnt Sicherheitsforscher
Google honoriert die Arbeit externer Sicherheitsforscher durch sein Bug-Bounty-Programm. Für die Entdeckung der genannten Schwachstellen wurden insgesamt 95.000 US-Dollar an Belohnungen ausgezahlt. Den höchsten Einzelbetrag von 36.000 US-Dollar erhielt ein anonymer Forscher für das Aufdecken der Use-after-free-Schwachstelle im Passwort-Manager (CVE-2024-7964).
Die hohe Anzahl an Zero-Day-Lücken in Chrome unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit im Bereich der Cybersicherheit. Nutzer sollten nicht nur regelmäßig Updates installieren, sondern auch grundlegende Sicherheitspraktiken wie die Verwendung starker, einzigartiger Passwörter und die Aktivierung der Zwei-Faktor-Authentifizierung befolgen. Nur durch die gemeinsamen Bemühungen von Softwareherstellern, Sicherheitsforschern und aufmerksamen Nutzern kann die digitale Landschaft sicherer gestaltet werden.