Google hat Chrome-Nutzer aufgefordert, den Webbrowser auf die neueste Version zu aktualisieren, um Angriffe durch Cyberkriminelle zu vermeiden.

Ende letzter Woche veröffentlichte das Unternehmen Chrome 99.0.4844.84 für Windows, Mac und Linux, das eine Zero-Day-Schwachstelle mit hohem Schweregrad behebt, die die Remote-Code-Ausführung ermöglicht.

Zudem wurde das Problem bereits in realen Szenarien missbraucht. „Google ist sich bewusst, dass ein Exploit für CVE-2022-1096 existiert“, teilte das Unternehmen mit.

google chrome null tag

Die als CVE-2022-1096 verfolgte Schwachstelle wird als verwirrende Schwachstelle in der JavaScript-Engine von Chrome V8 beschrieben.

Es ermöglicht einem Angreifer, den Browser zum Absturz zu bringen und könnte daher für einen Denial-of-Service-Angriff missbraucht werden, sowie beliebigen Code ausführen, was zu Malware- und Ransomware-Infektionen führen könnte.

Da der Fehler in freier Wildbahn ausgenutzt wird, hält Google zusätzliche Informationen bewusst zurück, bis Benutzer ihre Systeme reparieren können.

„Der Zugriff auf Fehlerdetails und Links kann eingeschränkt sein, bis die Mehrheit der Benutzer mit einem Fix aktualisiert wurde“, sagte Google. "Wir werden die Einschränkungen auch beibehalten, wenn der Fehler in einer Bibliothek eines Drittanbieters existiert, auf die andere Projekte ähnlich angewiesen sind, aber noch nicht behoben wurde."

Der Fix ist jetzt draußen, aber es könnte Wochen dauern, bis er alle Chrome-Benutzer erreicht. Wer überprüfen möchte, ob sein Client automatisch aktualisiert wurde, kann dies über das Chrome-Menü > Hilfe > Über Google Chrome tun, das die Versionsnummer anzeigt.

Dies ist der zweite Zero Day, der seit Anfang des Jahres nach der Entdeckung von CVE-2022-0609 in Chrome gefunden und behoben wurde. Google beschreibt die Schwachstelle als „use after free in animation“, ging aber nicht näher auf den Inhalt oder das extreme Risiko ein.

Das Unternehmen sagt, dass die Fehler von Natur aus missbraucht werden, lehnte es jedoch ab, Details darüber zu teilen, wie oder von wem. Es ist unklar, ob Malware entwickelt wurde, um den Fehler auszunutzen, und ob Antivirus-Lösungen ihn erkennen werden oder nicht.

Über BleepingComputer

Teilen Sie es