Die Chrome-Entwickler haben die stabile Version des Webbrowsers für Windows, macOS und Linux auf Version 86.0.4240.111 angehoben. Die neue Version schließt fünf Sicherheitslücken – vier von ihnen stellen nach Einschätzung der Entwickler ein hohes Sicherheitsrisiko für Nutzer dar. Von diesen Lücken wiederum wird eine laut Googles Project Zero bereits aktiv von Angreifern ausgenutzt. Nutzer sollten deshalb Ausschau nach dem Update halten, das in den kommenden Tagen und Wochen verteilt werden soll.

Wie gewohnt haben die Entwickler jene Security-Fixes in einem aktuellen Blogeintrag zum Chrome Stable Channel Update dokumentiert, die von externen Sicherheitsforschern entdeckt und gemeldet wurden. Mit Details zu den Lücken CVE-2020-16000 in der Blink Browser-Engine, CVE-2020-16001 (“Use after free in media”), CVE-2020-16002 in PDFium, CVE-2020-15999 in FreeType sowie zur einzigen “Medium”-Lücke CVE-2020-16003 (“Use after free in printing”) hält sich der Blogeintrag wie üblich zurück: Zugriff auf Bug-Details gibt es erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden.

Via CVE-2020-15999 in der Programmbibliothek FreeType finden solche Angriffe allerdings wohl schon statt. Via Twitter teilte Project Zero-Mitarbeiter Ben Hawkes mit, dass die Chrome-Entwickler schnell auf die Warnung des Teams reagiert hätten. Der Fix sei auch schon in FreeType eingeflossen: Die neue, abgesicherte Version 2.10.4 ist seit Kurzem verfügbar und sollte von Entwicklern im Rahmen ihrer Projekte verwendet oder aktualisiert werden.

Details zur Angriffsstrategie oder Hinweise, wie sich Nutzer verwundbarer Browser-Versionen schützen können, nannte Hawkes nicht.

Sicherheitsupdates für den Chromium-basierten Edge folgen häufig unmittelbar auf die Chrome-Updates. Derzeit hat Microsoft aber noch nichts veröffentlicht. Edge-Nutzer sollten die Release Notes für Edge Security Updates sowie Microsofts Security Advisory zu den Chromium Security Updates im Auge behalten.


(ovw)



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884