Neue Schwachstellen könnten es Angreifern Codeausführungen ermöglichen und so die Browser aus der Ferne zu steuern. Das BSI empfiehlt daher dringend zu einem Update der Browser, was auch sehr leicht möglich ist. Der CVSS-Wert gilt mit 8.8 als hochgefährlich.
Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt Nutzer und Unternehmen vor hochgefährlichen Schwachstellen mit dem CVSS-Wert 8.8 in den Browsern Google Chrome und Microsoft Edge unter den Betriebssystemen Windows, MacOS und Linux. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome und Microsoft Edge ausnutzen, um beliebigen Programmcode auszuführen. Dadurch kann er den Browser übernehmen und aus der Ferne steuern. Die Schwachstellen und deren Hintergründe erklären folgende CVEs: CVE-2024-0222, CVE-2024-0223, CVE-2024-0224, CVE-2024-0225 (Common Vulnerabilities and Exposures bzw. in deutsch “Bekannte Schwachstellen und Anfälligkeiten”).
Browser-Updates stehen bereit
Google und Microsoft stellen bereits entsprechende Updates für ihre Browser bereit. Die Schwachstellen finden sich in den kleineren Versionen der Browser:
- Microsoft Edge < 120.0.2210.121
- Google Chrome < 120.0.6099.199
- Google Chrome < 120.0.6099.200
Sofern in einem Unternehmen kein Patchmanagement genutzt wird, lässt sich ein Update auch manuell anstoßen und wird von einem Browser in Sekunden automatisch ausgeführt. Allerdings: ein Update wird nur ausgeführt, wenn der Browser zumindest neu gestartet wird.
Chrome-Update auslösen
Sofern das Update nicht durch eine Gruppenrichtlinie ausgelöst wird, sollte man so vorgehen: Nutzer müssen für das Update lediglich den Browser neu starten oder noch einfacher in den Einstellungen >Hilfe >über Google Chrome wählen. Danach öffnet sich die Infoseite zum Browser. Falls das Update noch nicht erledigt war, führt Chrome es nun einfach automatisch aus.
Edge-Update auslösen
In größeren Unternehmen bekommt der Edge-Browser normalerweise via Microsoft Endpoint Manager-Konsole per Richtlinie sein Update. Für KMUs und bei Einzelplätzen ist das Update extrem leicht gestaltet. Im Normalfall wird Edge auch sofort automatisch aktualisiert, wenn der Browser neu gestartet wird. Nutzer können aber im Browser >Hilfe und Feedback > Infos zu Microsoft Edge” aufrufen und so die Infos zum Browser öffnen. Dann zeigt sich automatisch auch die Aktualisierung.
Mehr bei BSI.bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.