Chrome und Firefox schließen zahlreiche teils kritische Sicherheitslücken

Zusammenfassung

Google und Mozilla verteilen neue Browser-Updates, die zusammen mehr als 70 Sicherheitslücken schließen. Im Fokus stehen dabei mehrere kritische und hoch eingestufte Speicherfehler, die laut den Herstellerhinweisen unter Umständen zur Ausführung von Schadcode ausgenutzt werden könnten. Chrome wurde auf die Versionen 149.0.7827.155/.156 für Windows und macOS sowie 149.0.7827.155 für Linux aktualisiert. Firefox 152 erschien für den stabilen Kanal, flankiert von weiteren Sicherheitsupdates für Firefox ESR, Thunderbird und Firefox für iOS. Besonders relevant sind mehrere Use-after-free-Fehler und andere Speicherprobleme, die in Browsern wegen ihres Potenzials für Remote Code Execution als besonders riskant gelten. Google erklärt in seinem Hinweis nicht, dass eine der behobenen Lücken bereits aktiv ausgenutzt wird. Mozilla warnt, dass sich einige der beseitigten Speicherfehler potenziell für die Ausführung beliebigen Codes missbrauchen lassen.

Google behebt mit dem aktuellen Chrome-Update 33 Sicherheitsfehler. 32 davon wurden laut Hersteller von Google selbst gefunden. Die neuen Versionen tragen unter Windows und macOS die Nummern 149.0.7827.155/.156, unter Linux 149.0.7827.155.

Von den sieben in Googles Sicherheitshinweis genannten kritischen Schwachstellen sind sechs Use-after-free-Fehler. Dabei handelt es sich um Speicherfehler, die sich potenziell für Remote Code Execution ausnutzen lassen. In Chrome könnten solche Schwachstellen nach Angaben des Unternehmens in Kombination mit der Ausnutzung von Lücken im Betriebssystem oder in einem privilegierten Browserprozess auch zum Ausbruch aus der Sandbox führen.

Daneben schließt die neue Chrome-Version 26 hoch eingestufte Sicherheitslücken. Dazu zählen acht weitere Use-after-free-Fehler sowie Probleme durch unzureichende Datenvalidierung, fehlerhafte Implementierung, Lesezugriffe außerhalb vorgesehener Grenzen, eine fehlerhafte Sicherheitsoberfläche, Heap-Buffer-Overflow und die Nutzung nicht initialisierten Speichers. Hinweise auf eine Ausnutzung dieser Schwachstellen unter realen Bedingungen nennt Google nicht.

Mozilla hat Firefox 152 für den stabilen Kanal veröffentlicht und damit 40 Schwachstellen behoben. Darunter sind 13 Sicherheitslücken mit hohem Schweregrad, die Use-after-free-Fehler, Rechteausweitung, fehlerhafte Grenzbedingungen, Sandbox-Ausbruch, JIT-Fehlkompilierung und weitere Speicherfehler umfassen.

Mozilla warnt, dass sich einige der behobenen Speicherlücken potenziell zur Ausführung beliebigen Codes missbrauchen lassen. Zusätzlich veröffentlichte das Unternehmen am Mittwoch Sicherheitsupdates für Firefox ESR, Thunderbird und Firefox für iOS. Weitere Details verweist Mozilla auf seine Hinweis-Seite zu den Sicherheitsmeldungen.

Damit betreffen die aktuellen Korrekturen beide großen Browserfamilien vor allem in einem klassischen Risikobereich: Speicherfehler, die je nach Art der Ausnutzung bis hin zur Codeausführung reichen können. Konkrete Angaben zu bereits beobachteten Angriffen enthält der vorliegende Hinweis nur insoweit, dass Google keine aktive Ausnutzung erwähnt.

Chrome und Firefox schließen zahlreiche teils kritische Sicherheitslücken

Ähnliche Artikel

Neueste Artikel