Microsoft hat ein Sicherheitsupdate für den Edge-Browser veröffentlicht, das mehrere Schwachstellen behebt, darunter eine 0-Day-Lücke, die bereits aktiv ausgenutzt wird. Die Sicherheitslücke CVE-2024-2883 betrifft die sogenannte ANGLE-Komponente, die für hardwarebeschleunigte Grafik-Renderings verantwortlich ist, und ist wohl in allen Chromium-basierten Browsern vorhanden.
Google hatte die Lücke bereits am 27. März 2024 in Chrome geschlossen. Jetzt bestätigte aber erst Microsoft, dass die Schwachstelle in der Praxis angegriffen wird. Das Unternehmen schreibt: „Google ist sich bewusst, dass ein Exploit für CVE-2024-2883 in freier Wildbahn existiert.“ Was genau da wie ausgenutzt wird, hält das Unternehmen der Sicherheit zuliebe unter Verschluss.
Im Verzeichnis von CVE findet sich zu dem Bug folgende Beschreibung und die Einstufung als „kritisch“:
Use after free in ANGLE in Google Chrome prior to 123.0.6312.86 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Critical)
CVE-2024-2883
Heap-Korruption ist ein Sicherheitsproblem, bei dem der Arbeitsspeicherbereich, der für dynamische Speicherverwaltung verwendet wird (der „Heap“), durch einen Programmierfehler oder einen Angriff beschädigt wird.
Nutzer von Chromium-Browsern, darunter eben Chrome, Edge, aber auch Vivaldi oder Brave, sollten daher umgehend aktualisieren. In den meisten Fällen genügt es, „chrome://settings/help“ (klappt auch in Edge und Co.) in die Adresszeile einzugeben, um nach Updates zu suchen. Nach der Installation des Updates mit Version 123.0.2420.65 für Microsoft Edge ist ein Neustart des Browsers erforderlich.
Solche Lücken sind keine Seltenheit und werden wohl immer wieder auftreten. Besonderheit in diesem Fall ist aber, dass sie offenbar schon tatsächlich ausgenutzt wurde. Es ist wichtig, Browser-Updates im Auge zu behalten, um schnell auf schwerwiegende Probleme reagieren zu können. Auch Mozilla hat kürzlich zwei 0-Day-Schwachstellen in Firefox gepatcht, nur wenige Tage nach der Veröffentlichung von Version 124.0.
Folge jetzt unserem Newsletter-Kanal bei WhatsApp. Info: *provisionierte Affiliate-Links.