Google hat gerade ein außerplanmäßiges Update veröffentlicht, um eine Zero-Day-Sicherheitslücke im Google Chrome-Browser zu beheben, die vermutlich von Hackern aktiv ausgenutzt wird. Dies ist der erste kritische Fehler des Jahres 2023 im Browser mit dem derzeit größten Marktanteil weltweit.

Die Sicherheitslücke mit der Bezeichnung CVE-2023-2033 wurde am 11. April 2023 von Clement Lecigne von der Threat Analysis Group (TAG) von Google gemeldet. Google TAG ist eine Expertengruppe, deren Aufgabe es ist, Zero-Day-Sicherheitslücken zu entdecken und zu melden, die von staatlich geförderten Bedrohungsakteuren bei gezielten Angriffen ausgenutzt werden.

Die als schwerwiegend eingestufte Sicherheitslücke wird als Typverwechslungsproblem in der V8-JavaScript-Engine beschrieben. Ein Typfehler in V8 in Google Chrome vor Version 112.0.5615.121 ermöglicht Remote-Angreifern, möglicherweise eine Heap-Beschädigung über eine manipulierte HTML-Seite auszunutzen.

Dieser Fehler ermöglicht es einem Angreifer normalerweise, bei erfolgreicher Ausnutzung einen Browserabsturz zu verursachen, indem er Daten außerhalb der Puffergrenzen liest oder schreibt. Hacker können damit aber auch Code auf kompromittierten Geräten ausführen. Aufgrund der Schwere der Sicherheitslücke erklärte Google, dass der Zugriff auf Fehlerdetails eingeschränkt werde, bis die Mehrheit der Benutzer über den Patch verfüge.

Es ist auch möglich, dass Google den Zugriff auf diese Sicherheitslücke weiterhin einschränkt, da sie auch in Bibliotheken oder Projekten von Drittanbietern vorhanden ist, die auf JavaScript V8 basieren und nicht gepatcht wurden.

Benutzer von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi sollten die Fixes ebenfalls anwenden, sobald sie veröffentlicht werden. Um die neue Version von Google Chrome zu überprüfen, gehen Sie im Benutzerbrowser zu Chrome > Hilfe > Über Google Chrome.