Google hat die sechste Chrome-Zero-Day-Schwachstelle in diesem Jahr in einem Notfall-Sicherheitsupdate behoben, das heute als Reaktion auf laufende Exploits veröffentlicht wurde. Das Unternehmen erkannte die Sicherheitslücke mit der Nummer CVE-2023-6345 in einer heute veröffentlichten neuen Sicherheitswarnung an.

„Google ist sich der Sicherheitslücke CVE-2023-6345 bewusst“, teilte das Unternehmen mit.

Die Schwachstelle wurde im Stable Desktop-Kanal behoben und eine gepatchte Version wurde weltweit für Windows-Benutzer (119.0.6045.199/.200) sowie Mac- und Linux-Benutzer (119.0.6045.199) bereitgestellt.

In der Empfehlung wird darauf hingewiesen, dass es Tage oder Wochen dauern kann, bis das Sicherheitsupdate die gesamte Benutzerbasis erreicht, das Update jedoch bereits heute verfügbar ist. Benutzer, die nicht manuell aktualisieren möchten, können sich darauf verlassen, dass ihr Webbrowser automatisch nach neuen Updates sucht und diese nach dem nächsten Start installiert.

Diese hochgradige Zero-Day-Schwachstelle ist auf eine Ganzzahlüberlauf-Schwachstelle in der Open-Source-2D-Grafikbibliothek Skia zurückzuführen, die Risiken birgt, die von Abstürzen bis hin zur Ausführung willkürlichen Codes reichen (Skia wird auch als Grafik-Engine in anderen Produkten wie ChromeOS, Android und Flutter verwendet).

Die Sicherheitslücke wurde am Freitag, dem 24. November, von zwei Sicherheitsforschern der Threat Analysis Group (TAG) von Google, Benoît Sevens und Clément Lecigne, gemeldet.

GoogleTAG ist bekannt für die Entdeckung von Zero-Day-Schwachstellen, die häufig von staatlich geförderten Hackergruppen für Spyware-Kampagnen ausgenutzt werden, die auf hochrangige Persönlichkeiten wie Journalisten und Oppositionspolitiker abzielen.

Das Unternehmen sagte, der Zugriff auf Details zu den Zero-Day-Schwachstellen werde weiterhin eingeschränkt bleiben, bis die meisten Benutzer ihre Browser aktualisieren. Sollte der Fehler auch Software von Drittanbietern betreffen, die noch nicht gepatcht wurde, werden die Zugriffsbeschränkungen auf Fehlerdetails und Links erweitert.

„Der Zugriff auf Fehlerdetails und Links kann eingeschränkt sein, bis die Mehrheit der Benutzer mit einem Fix aktualisiert. Wenn der Fehler in einer Bibliothek eines Drittanbieters vorhanden ist, auf die andere Projekte in ähnlicher Weise angewiesen sind, aber noch nicht behoben wurde, werden wir die Einschränkungen ebenfalls beibehalten“, sagte das Unternehmen.

Dieser Schritt soll die Möglichkeit verringern, dass Bedrohungsakteure neu veröffentlichte technische Informationen über die Sicherheitslücke ausnutzen, um ihre eigenen CVE-2023-6345-Schwachstellen zu entwickeln.

Im September hat Google zwei weitere Zero-Day-Schwachstellen behoben, die bei dem Angriff ausgenutzt wurden (mit den Nummern CVE-2023-5217 und CVE-2023-4863), die vierte und fünfte Zero-Day-Schwachstelle seit Anfang 2023.