Google hat für Nutzer von Windows, Mac und Linux die Version Google Chrome 99.0.4844.84 veröffentlicht, um eine schwerwiegende Zero-Day-Schwachstelle zu beheben, die bereits aktiv ausgenutzt wird. Dieses Update ist von entscheidender Bedeutung für die Sicherheit aller Chrome-Nutzer und sollte umgehend installiert werden, um potenzielle Risiken zu minimieren. Die schnelle Reaktion von Google unterstreicht die Dringlichkeit, mit der Anwender ihren Browser aktualisieren sollten, um sich vor bekannten Bedrohungen zu schützen.
Google Chrome Logo und Browser-Oberfläche, repräsentiert das dringende Sicherheitsupdate auf Version 99.0.4844.84
Google hat in einem am Freitag veröffentlichten Sicherheits-Advisory bestätigt, dass eine Ausnutzung für CVE-2022-1096 “in freier Wildbahn” existiert. Dies bedeutet, dass Angreifer bereits versuchen, die Sicherheitslücke aktiv auszunutzen. Die Veröffentlichung des Updates auf Version Google Chrome 99.0.4844.84 erfolgt über den stabilen Desktop-Kanal und wird weltweit ausgerollt, wobei es einige Wochen dauern kann, bis es alle Nutzer erreicht. Es ist jedoch ratsam, nicht auf die automatische Verteilung zu warten, sondern aktiv zu werden.
Details zur behobenen Zero-Day-Schwachstelle (CVE-2022-1096)
Die mit dem Update Google Chrome 99.0.4844.84 behobene Zero-Day-Lücke, verfolgt unter der Kennung CVE-2022-1096, ist ein “Type Confusion”-Fehler mit hohem Schweregrad in der V8 JavaScript-Engine von Chrome. Ein solcher Fehler wurde von einem anonymen Sicherheitsforscher gemeldet.
Ein “Type Confusion”-Fehler tritt auf, wenn ein Programm eine Ressource (wie z.B. einen Speicherbereich) mit einem inkompatiblen Typzugriff vornimmt. Dies kann in der Regel zu Browserabstürzen führen, wenn Speicher außerhalb der vorgesehenen Grenzen gelesen oder beschrieben wird. Gravierender ist jedoch die Möglichkeit, dass Angreifer diese Schwachstellen nutzen können, um beliebigen Code auf dem betroffenen System auszuführen. Dies gibt ihnen die Kontrolle über den Browser und potenziell über das gesamte System des Benutzers.
Obwohl Google Angriffe erkannt hat, die diesen Zero-Day aktiv ausnutzen, hat das Unternehmen keine technischen Details oder zusätzliche Informationen zu diesen Vorfällen veröffentlicht. Google erklärte, dass der Zugang zu Bug-Details und Links möglicherweise eingeschränkt bleibt, bis die Mehrheit der Nutzer das Update installiert hat. Dies ist eine gängige Praxis, um Angreifern keine zusätzlichen Informationen zu liefern, die sie zur Entwicklung weiterer Exploits nutzen könnten. Es wird dringend empfohlen, Chrome umgehend zu aktualisieren, um das Risiko einer Ausnutzung zu minimieren, bevor detailliertere Informationen öffentlich werden.
So aktualisieren Sie Google Chrome auf Version 99.0.4844.84
Das Update auf Google Chrome 99.0.4844.84 ist einfach und kann in wenigen Schritten durchgeführt werden:
- Öffnen Sie Google Chrome.
- Klicken Sie auf das Drei-Punkte-Menü oben rechts im Browserfenster.
- Gehen Sie zu Hilfe > Über Google Chrome.
- Der Browser prüft nun automatisch auf Updates und lädt diese gegebenenfalls herunter.
- Nach dem Download müssen Sie Chrome neu starten, damit das Update wirksam wird. Eine Schaltfläche zum Neustart erscheint in der Regel, sobald das Update bereit ist.
Der Webbrowser überprüft auch automatisch auf neue Updates und installiert diese nach dem nächsten Start selbstständig. Es ist jedoch sicherer, den Update-Prozess manuell anzustoßen, um sicherzustellen, dass Sie die neueste und sicherste Version so schnell wie möglich erhalten.
Der zweite Zero-Day in diesem Jahr: Ein besorgniserregender Trend
Mit dieser Aktualisierung hat Google bereits den zweiten Chrome-Zero-Day seit Anfang 2022 behoben. Der erste (verfolgt unter CVE-2022-0609) wurde im letzten Monat gepatcht. Die Google Threat Analysis Group (TAG) enthüllte, dass nordkoreanische staatlich unterstützte Hacker den Zero-Day CVE-2022-0609 bereits Wochen vor dem Februar-Patch ausgenutzt hatten. Die frühesten Anzeichen einer aktiven Ausnutzung wurden am 4. Januar 2022 gefunden.
Der Zero-Day wurde von zwei separaten, von der nordkoreanischen Regierung unterstützten Bedrohungsgruppen in Kampagnen ausgenutzt, die Malware über Phishing-E-Mails verbreiteten. Diese E-Mails enthielten gefälschte Stellenangebote oder leiteten Benutzer auf kompromittierte Websites weiter, die versteckte Iframes zur Auslieferung eines Exploit-Kits nutzten. Die Forscher erklärten: “Die E-Mails enthielten Links, die legitime Job-Websites wie Indeed und ZipRecruiter imitierten.” In anderen Fällen wurden gefälschte Websites, die bereits zur Verbreitung von trojanisierten Kryptowährungsanwendungen eingerichtet waren, beobachtet, wie sie Iframes hosteten und ihre Besucher auf das Exploit-Kit lenkten. Diese Vorfälle zeigen die Raffinesse und die anhaltende Bedrohung durch solche Angriffe.
Fazit: Bleiben Sie sicher mit Google Chrome 99.0.4844.84
Die regelmäßige Veröffentlichung von Sicherheitsupdates für Webbrowser wie Google Chrome 99.0.4844.84 ist unerlässlich, um die Sicherheit der Nutzer im digitalen Raum zu gewährleisten. Insbesondere die Behebung von Zero-Day-Schwachstellen, die bereits aktiv ausgenutzt werden, unterstreicht die Dringlichkeit, stets die aktuellste Version zu verwenden. Angesichts der Zunahme raffinierter Cyberangriffe, wie der von staatlich unterstützten Hackergruppen, ist es wichtiger denn je, wachsam zu bleiben und proaktiv Maßnahmen zu ergreifen. Stellen Sie sicher, dass Ihr Google Chrome immer auf dem neuesten Stand ist, um sich und Ihre Daten bestmöglich zu schützen. Überprüfen Sie regelmäßig auf Updates und installieren Sie diese umgehend, um ein sicheres Browsing-Erlebnis zu gewährleisten.
Referenzen
- Google Chrome Releases: Stable Channel Update for Desktop
- CVE-2022-1096 – MITRE
- CWE-843 – Type Confusion – MITRE
- North Korean hackers exploit Chrome zero-day weeks before patch – BleepingComputer