Neues Notfall-Update: Google stopft weitere 0-Day-Lücke in Chrome

Einen Tag vor der Freigabe der neuen Chrome-Hauptversion 125 hat Google noch ein Notfall-Update für Chrome 124 herausgegeben, um eine zweite 0-Day-Lücke zu stopfen. Mit den neuen Chrome-Versionen 124.0.6367.207/208 für Windows und macOS sowie 124.0.6367.207 für Linux vom 13. Mai schließt Google eine weitere Sicherheitslücke in seinem Browser. Diese Schwachstelle wird bereits für Angriffe ausgenutzt. Hersteller anderer Chromium-basierter Browser sollten also dringend nachziehen – Vivaldi macht es vor.

Im Chrome Release Blog bietet Daniel Yip nur wenige Informationen zur Sicherheitslücke CVE-2024-4761. Sie ist durch einen anonymen Sicherheitsforscher entdeckt und am 9. Mai an Google gemeldet worden. Google stuft die Schwachstelle als hohes Risiko ein. Es handelt sich um einen illegalen Schreibzugriff in der Javascript-Engine V8. Die Lücke kann genutzt werden, um Code einzuschleusen und auszuführen – was offenbar bereits der Fall ist.

Google hatte erst am 9. Mai ein Notfall-Update für Chrome ausgeliefert. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome (alternativ: » Einstellungen » Über Google Chrome) können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 124.0.6367.179 veröffentlicht, worin die gleiche Schwachstelle beseitigt ist.

▶Die neuesten Sicherheits-Updates

Chrome 125 steht bereits in den Startlöchern. Google verteilt es seit 8. Mai an eine kleine Anzahl Benutzer. Es stehen bislang Versionen für Windows, macOS, Android und iOS bereit. Heute Abend will Google Chrome 125 für alle freigeben.

Andere Chromium-basierte Browser

Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, schnell mit Updates nachzuziehen. Vivaldi hat noch am 13. Mai ein Update auf die abgesicherte Version 6.7.3329.29 herausgebracht, die auf Chromium 124.0.6367.219 basiert. Brave und Microsoft Edge sind auf dem Sicherheitsstand vor diesem Chrome-Update, haben also zumindest die 0-Day-Lücke aus der letzten Woche beseitigt. Neue Updates könnten noch im Laufe des Tages folgen.

Bei Opera sieht es hingegen bedenklich aus: Die Norweger bekommen nicht nur die Opera-Version 110 auf Basis von Chromium 124 einfach nicht zur Tür hinaus (sie ist noch immer im Beta-Teststadium), sie haben auch keine der in den letzten vier Wochen aufgelaufenen Sicherheitslücken mit einem Update geschlossen. Da Google heute Abend Chrome 125 freigeben wird, könnte sich Opera im Grunde gleich auf seine Version 111 fokussieren (wenn das mal alles so einfach wäre wie es klingt). Realistischer wäre wohl, dem Beispiel Vivaldis zu folgen und Chromium 125 links liegen zu lassen, um bis Mitte Juni (Chrome/Chromium 126) mit dem Extended Stable Channel von Chromium 124 zu arbeiten.

Update 15. Mai

Nach Vivaldi haben auch Brave und Microsoft ihre Browser mit Updates abgesichert. Zwar hat auch Opera am 14. Mai ein Update bereitgestellt, ist dabei jedoch viel zu kurz gesprungen. Immerhin hat es die norwegische Browserschmiede (nicht zum ersten Mal) gerade noch geschafft, ihre Browser-Version 110 auf Basis von Chromium 124 herauszubringen, bevor Google mit Chrome 125 schon die nächste Runde einläutet. Allerdings steckt in Opera One 110.0.5130.23 die Chromium-Version 124.0.6367.62, mit dem Stand aus Mitte April. Seitdem sind nicht nur zwei 0-Day-Lücken hinzugekommen.

Google ist allerdings nun auch selbst auf die Bremse getreten, denn die für den 14. Mai erwartete allgemeine Verfügbarkeit der neuen Chrome-Version 125 lässt noch auf sich warten. Ein Grund für die Verzögerung ist nicht bekannt.