Google hat Notfall-Sicherheitsupdates veröffentlicht, die sich mit CVE20265281 befassen, einer schwerwiegenden (CVSS-Score: N/A), aktiv ausgenutzten Zero-Day-Lücke, die den Chrome-Browser betrifft.

Überblick

Bei der Schwachstelle handelt es sich um eine UseAfterFree (UAF)-Schwachstelle in der Dawn WebGPU-Komponente, die die Remotecodeausführung über manipulierte HTML-Seiten ermöglicht, wenn ein Angreifer den Renderer-Prozess bereits beeinträchtigt hat. Google hat bestätigt, dass die Schwachstelle in der freien Wildbahn ausgenutzt wird, und hat absichtlich tiefere technische Details zurückgehalten, um eine weitere Bewaffnung zu verhindern.

Details zur Sicherheitsanfälligkeit:

• CVE ID: CVE20265281
• Typ: UseAfterFree-Speicherbeschädigung (CWE416)
• Komponente: Dawn - WebGPU-Implementierung
• Auswirkung:
  • Remote Code Execution (Postrenderer-Kompromittierung) über manipuliertes HTML
  • Umgehung von Sicherheitsgrenzen

Schweregrad: Hoch

Beschreibung:

Die Sicherheitsanfälligkeit tritt auf, wenn die Dawn WebGPU-Komponente von Chrome Speicherverweise nach ihrer Freigabe nicht ordnungsgemäß verwaltet. Angreifer können "Dangling Pointers" ausnutzen, um bösartigen Code auszuführen oder ihre Position zu erweitern.

• Windows/macOS: 146.0.7680.177 / 146.0.7680.178
• Linux: 146.0.7680.177
• Microsoft Edge
• Vivaldi
• Brave
• Opera

Ausnutzungsaktivität:

Google hat ausdrücklich bestätigt, dass die Sicherheitslücke in freier Wildbahn aktiv ist.

Sicherheitsforscher betonen, dass dieseZero-Day-Lückein laufenden Angriffen genutzt wird, was die Dringlichkeit eines sofortigen Patches unterstreicht.

Betroffene Versionen:

Die Sicherheitslücke betrifft alle Google Chrome-Versionen vor dieser Version:

Andere Chromium-basierte Browser sind ebenfalls anfällig , bis ihre jeweiligen Updates veröffentlicht werden, einschließlich:

Anleitung zu Patches und Abhilfemaßnahmen

Chrome-Sicherheitsupdates sofort anwenden

Google hat aktualisierte Chrome-Builds für alle wichtigen Desktop-Plattformen veröffentlicht. Benutzer sollten das Update durchführen, indem sie navigieren zu:

Chrome Menü → Hilfe → Über Google Chrome → Neu starten um zu aktualisieren

Nutzern anderer Chromium-basierter Browser wie Microsoft Edge, Brave, Opera und Vivaldi wird ebenfalls empfohlen, die Korrekturen anzuwenden, sobald sie verfügbar sind.

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder nehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.