Google Chrome ist der weltweit mit großem Abstand am häufigsten verwendete Browser. Schwachstellen setzen folglich Abermillionen, wenn nicht gar Milliarden von Notebooks und Desktops sowie deren Nutzer der Gefahr von Angriffen aus. Vor rund einer Woche wurde in der App eine Sicherheitslücke entdeckt, die sowohl Google als auch das US-amerikanische National Institute of Standards and Technology (NIST) als äußerst bedrohlich einstufen. Der Bug wird bereits ausgenutzt. Die gute Nachricht: ein Update steht seit Kurzem zur Verfügung.


Schwachstelle ermöglicht Ausführung von Schadcode
Die Schwachstelle mit der CVE-Nummer 2023-6345 schlummert in den Chrome-Versionen für macOS, Windows und Linux. Den Versionshinweisen zufolge kann es in Skia, der in den Browser integrierten quelloffenen Grafik-Engine, zu einem arithmetischen Überlauf (Integer Overflow) kommen. Angreifer können diesen Fehler unter anderem nutzen, um aus der Chrome-Sandbox auszubrechen und Schadcode auf dem Rechner auszuführen. Das ermöglicht in der Folge das Abgreifen von sensiblen Informationen, also beispielsweise Passwörtern oder Bankzugangsdaten. Einzelheiten zur Sicherheitslücke nennt Google aus Sicherheitsgründen bislang nicht. Das ist in solchen Fällen das übliche Vorgehen; man will zunächst sicherstellen, dass die meisten Nutzer das jetzt zur Verfügung gestellte Update installiert haben, bevor weitere Informationen veröffentlicht werden.

Sicherheitslücke wird bereits aktiv ausgenutzt
Google zufolge wurde die Schwachstelle bereits aktiv ausgenutzt, Hacker verfügen demnach über entsprechende Exploits. Chrome 119.0.6045.199 für macOS und Linux schließt die Lücke, die abgesicherte Windows-Version trägt die Nummer 119.0.6045.199/.200. Die neue Ausgabe, welche in den kommenden Tagen nach und nach ausgerollt wird, behebt darüber hinaus sechs weitere Fehler, deren Gefährlichkeit ebenfalls als hoch eingestuft wird. Wer Chrome nutzt und automatische Updates aktiviert hat, sollte umgehend überprüfen, ob die Aktualisierung bereits vorgenommen wurde. Ist das nicht der Fall, sollte man das Update manuell anstoßen, also gegebenenfalls die aktuelle Version von Googles Webseite herunterladen.