Google hat ein Notfall-Sicherheitsupdate veröffentlicht, das eine neu auftretende Zero-Day-Sicherheitslücke in Chrome behebt. „Google ist sich bewusst, dass eine Schwachstelle in CVE-2023-4863 extern ausgenutzt wurde“, gab das Unternehmen in einer Sicherheitswarnung bekannt. „Das als Heap-Pufferüberlauf beschriebene Problem tritt im WebP-Bildformat auf.“
Ein Heap-Pufferüberlauf tritt auf, wenn ein Programm versucht, mehr Daten in einen zugewiesenen Speicherpuffer zu schreiben, als die tatsächliche Entwurfskapazität des Puffers übersteigt. In einigen Fällen könnte diese Sicherheitslücke es einem Angreifer ermöglichen, beliebigen Code auszuführen, was bedeutet, dass er Code seiner Wahl auf einem betroffenen System ausführen könnte.
Apples Security Engineering and Architecture (SEAR) und das Munk School Citizen Lab der University of Toronto haben diese Schwachstelle am 6. September 2023 entdeckt und gemeldet. Google hat jedoch weder die Details der Schwachstelle offengelegt noch Informationen darüber bereitgestellt, wie Angreifer sie ausnutzen könnten.
Benutzern des Chrome-Browsers wird dringend empfohlen, ihren Browser auf die neueste Version zu aktualisieren, nämlich 116.0.5845.187 für Mac und Linux und 116.0.5845.187.188 für Windows. Dieses Update ist wichtig, da es die Schwachstelle CVE-2023-4863 behebt.
Die neue Version wird derzeit für Benutzer in den Stable- und Extended Stable-Kanälen bereitgestellt und wird möglicherweise in den kommenden Tagen oder Wochen für alle Benutzer bereitgestellt. Das Update stand zum Download zur Verfügung, als wir über Chrome-Menü > Hilfe > Über Google Chrome auf einem Windows-PC nach dem neuen Update suchten.
Die neueste Sicherheitslücke trat auf, nachdem Google im August angekündigt hatte, wöchentliche Sicherheitsupdates für Benutzer des stabilen Chrome-Browsers zu veröffentlichen. Das Unternehmen sagte, dass es, wenn eine Sicherheitslücke entdeckt wird, die aktiv ausgenutzt wird, diese umgehend beheben und außerplanmäßige Patches für den Chrome-Browser veröffentlichen wird.