Google Chrome 40: Update beseitigt drei kritische Sicherheitslücken

Das Update für den Browser Google Chrome (Version 40) behebt einen Use-after-free-Bug in DOM und verhindert einen Cross-Origin-Bypass in der Browserengine V8. Die Android-Version des Browsers hat Google bereits Anfang der Woche aktualisiert.

Mit einem Update für die erst kürzlich veröffentlichte Final von Chrome 40 schließt Google drei Sicherheitslücken, von denen ein hohes Risiko ausging. Mit Version Version 40.0.2214.111 liefert der Internetkonzern zudem acht weitere Fixes für Anfälligkeiten in seinem Browser.

Google Chrome (Screenshot: CNET).

Ein Angreifer konnte die Schwachstellen ausnutzen, um unter Umständen Schadcode einzuschleusen und innerhalb der Sandbox des Chrome auszuführen. Das Update behebt nun einen Use-after-free-Bug in DOM und verhindert einen Cross-Origin-Bypass in der Browserengine V8. Darüber hinaus können Angreifer nach der Aktualisierung nicht mehr einen Fehler in der Komponente Service Workers nutzen, um eine nicht autorisierte Ausweitung von Nutzerrechten zu bewirken.

Auf die Sicherheitslecks haben Google externe Sicherheitsforscher hingewiesen. Zu den Prämien, die die Sicherheitsforscher erhalten, macht Google jedoch keine Angaben. Zu den anderen Schwachstellen macht Google keine genaueren Angaben.

Google hat aber auch bei eigenen Tests mehrere Sicherheitslöcher gefunden und anschließend gestopft. Sie wurden unter anderem mithilfe der Tools AdressSanitizer und MemorySanitizer aufgespürt.

Das ebenfalls seit gestern erhältliche Update für das in Chrome integrierte Flash-Plug-in ist nicht Bestandteil der neuen Browserversion. Google hatte es schon vorab verteilt, ohne die Versionsnummer anzuheben.

Seit Dienstag ist zudem im Play Store eine neue Version von Chrome für Android erhältlich. Sie enthält ebenfalls Fixes für elf Anfälligkeiten, darunter die oben genannten Schwachstellen in DOM, V8 und Service Workers. Warum Google allerdings die Desktopversion seines Browsers erst zwei Tage nach der Mobilversion aktualisiert, ist nicht klar.

Nutzer, die Chrome schon installiert haben, erhalten die neue Version automatisch. Sie kann aber auch für Windows, Mac OS X und Linux von der Google-Website heruntergeladen werden.

Mit der Final von Chrome 40 hatte Google in der vorletzten Woche insgesamt 62 Sicherheitslücken geschlossen. Den Entdeckern der Bugs zahlte Google insgesamt 88.500 Dollar. 2014 erhielten Sicherheitsforscher, die Details zu Schwachstellen in unterschiedlichen Google-Produkte gemeldet haben, mehr als 1,5 Millionen Dollar.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Google Chrome 40: Update beseitigt drei kritische Sicherheitslücken

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *