Google hat am Donnerstag Notfallpatches für zwei Sicherheitslücken in seinem Webbrowser Chrome veröffentlicht, von denen eine nach eigenen Angaben aktiv ausgenutzt wird.
Unter der Bezeichnung CVE-2022-1364 beschreibt der Tech-Gigant den hochgradig gefährlichen Fehler als einen Fall von Typverwechslung in der V8 JavaScript-Engine. Clément Lecigne von der Threat Analysis Group von Google meldete die Schwachstelle am 13. April 2022.
Wie bei aktiv ausgenutzten Zero-Day-Schwachstellen üblich, bestätigte das Unternehmen, dass es „weiß, dass ein Exploit für CVE-2022-1364 in freier Wildbahn existiert“. Weitere Details über die Schwachstelle und die Identität der Bedrohungsakteure wurden zurückgehalten, um weiteren Missbrauch zu verhindern.
Mit der jüngsten Korrektur hat Google seit Anfang des Jahres insgesamt drei Zero-Day-Schwachstellen in Chrome gepatcht. Es ist außerdem der zweite Fehler in V8, der innerhalb von weniger als einem Monat behoben wurde, der zu Verwechslungen führt.
CVE-2022-0609 – Use-after-free in Animation
CVE-2022-1096 – Typenverwechslung in V8
Nutzern wird empfohlen, auf Version 100.0.4896.127 für Windows, Mac und Linux zu aktualisieren, um potenzielle Bedrohungen abzuwehren. Nutzern von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi wird ebenfalls empfohlen, die Korrekturen anzuwenden, sobald sie verfügbar sind.