Google: 159 Sicherheitslücken in Chrome gestopft

Google hat seinen Browser Chrome auf die Version 38.0.2125.101 aktualisiert und damit 159 Lücken geschlossen. Darunter befindet sich auch eine als kritisch eingestufte Schwachstelle in der JavaScript-Engine V8, über die Angreifer Schadcode einschleusen und außerhalb der Sandbox ausführen könnten. Den Entdeckern der Sicherheitslücken zahlt Google eine Belohnung von insgesamt 52.633,70 Dollar.

Die Aktualisierung auf Version 38.0.2125.101 steht für Windows, Mac OS X und Linux zur Verfügung. Den Versionshinweisen zufolge haben die Entwickler insgesamt 159 Sicherheitslöcher geschlossen, von denen Google 113 als „unbedeutende Fixes“ bezeichnet. Zudem enthält Chrome 38 mehrere neue Programmierschnittstellen (Application Programming Interface, API) für Apps und Erweiterungen sowie Veränderungen „unter der Haube“, die die Stabilität und Leistung des Browsers verbessern sollen.

Google Chrome

Die 113 geringfügigen Korrekturen sollen Speicherfehler beheben, die mithilfe des Tools MemorySanitizer gefunden wurden. Darüber hinaus nennt Google nur Details zu 13 Schwachstellen. Eine davon stuft es als kritisch ein. Ein Angreifer könnte über eine Kombination aus V8- und IPC-Bugs Schadcode einschleusen und außerhalb der Sandbox ausführen.

Ein hohes Risiko geht von weiteren sechs Anfälligkeiten aus. Unter anderem behebt Google Use-after-free-Bugs in den Komponenten Event, Rendering, DOM und Web Workers. Ein Out-of-bounds-Fehler bei der Verarbeitung von PDF-Dateien kann ebenfalls zu einer Remotecodeausführung innerhalb der Sandbox führen. Außerdem gibt die Vorgängerversion durch Fehler in der JavaScript-Engine V8 und im XSS-Auditor möglicherweise Informationen preis.

Google zahlt den Entdeckern der Sicherheitslücken eine Belohnung von insgesamt 52.633,70 Dollar. 27.633,70 Dollar erhält alleine der Sicherheitsforscher Jüri Aedla für die Details zu der als kritisch eingestuften Schwachstelle. Ein anderer Bug brachte im zusätzliche 4500 Dollar ein. Weitere 11.000 Dollar gehen an einen Nutzern namens „Cloudfuzzer“.

Darüber hinaus haben Atte Kettunen von der Oulu University in Finnland sowie der Sicherheitsforscher Collin Payne Google bei der Entwicklung von Chrome 38 unterstützt und dadurch laut Google verhindert, dass sicherheitsrelevante Fehler den Stable Channel erreichen. Ihnen zahlt Google dafür eine Belohnung von 23.000 Dollar.

Nutzer, die die Desktop-Version von Chrome schon installiert haben, erhalten das fehlerbereinigte Release automatisch. Es kann auch. von der Google-Website geladen werden. Das kritische Loch stopft Google außerdem in Chrome OS 38.0.2125.101. Zudem steht in Apples App Store eine neue Version von Chrome für iOS zum Download bereit, die die Unterstützung von iPhone 6 und iPhone 6 Plus verbessert und ein Sicherheitsproblem mit Facetime behebt.

Downloads:

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Google: 159 Sicherheitslücken in Chrome gestopft

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *