Google Chrome: 24 Sicherheitslücken geschlossen

Die Schwachstellen sind in der Version 45 von Chrome und früher enthalten und ermöglichen das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox. Seiten mit unverschlüsselten und verschlüsselten Inhalten werden jetzt wie unverschlüsselte Seiten behandelt.

Das Update auf Version 46.0.2409.71, auf das Google seinen Browser Chrome jetzt aktualisiert hat, enthält Fixes für insgesamt 24 Schwachstellen. Mindestens vier der Anfälligkeiten stellen ein hohes Risiko dar und erlauben nach Informationen Googles zufolge das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox des Browsers. Außerdem enthält der Browser die neuste Version von Adobe Flash Player, die allerdings eine Zero-Day-Lücke enthält. Chrome 46 steht ab sofort für Windows, Mac OS X, Linux und Chrome OS zur Verfügung. Nutzer, die den Browser bereits einsetzen, erhalten das Update automatisch. Google verteilt die neue Version aber auch über seine Website.

Google Chrome (Bild: Google)

Google hat im HTML-Renderer Blink hat einen Fehler beseitigt, der es ermöglicht, die Cross-Origin-Richtlinie zu umgehen. Der Entdecker der Lücke, Mariusz Mlynski, erhält dafür eine Belohnung von 8837 Dollar. 6337 Dollar zahlt Google an einen anonymen Sicherheitsforscher, der Details zu einem Use-after-free-Bug in PDFium gemeldet hat. Einen weiteren Use-after-free-Bug hat Google in ServiceWorker beseitigt. Die Details dazu lieferte Collin Payne, dessen Arbeit das Unternehmen mit 3500 Dollar entlohnt. Details zu einem weiteren Fehler in PDFium kamen von Atte Kettunen von der University of Oulu in Finnland. Seine Prämie beläuft sich auf 3000 Dollar.

chrome-46-https

In der Vorgängerversion waren darüber hinaus die Komponenten LocalStorage, libAngle, FFMpeg und CSS Fonts fehlerhaft. Details nennt Google allerdings nur zu acht Schwachstellen, da einige der Fehler möglicherweise auch Software von Drittanbietern betreffen, die noch keinen Patch entwickelt haben.

Mit Chrome 46 ändert Google aber auch, wie der Browser in der Adressleiste Websites kennzeichnet, die sicheres HTTP (HTTPS) nutzen. Anwender erhalten nun keinen Hinweis mehr darauf, dass eine HTTPS-Verbindung „kleine Fehler“ hat. Davon sind Google zufolge Seiten betroffen, die verschlüsselte und unverschlüsselte Inhalte haben. Sie behandelt Google nun wie Seiten mit einer unverschlüsselten Verbindung. Vollständig verschlüsselte Seiten markiert Google weiterhin mit einem grünen Schloss-Symbol, Seiten die beispielsweise ein abgelaufenes Zertifikat verwenden, mit einem roten Symbol.

„Wir haben festgestellt, dass unser gelbes ‚Warndreieck‘ im Vergleich zum Symbol für HTTP-Seiten verwirrend sein kann, und wir glauben, dass es besser ist, den Unterschied in Bezug auf die Sicherheit zwischen diesen beiden Zuständen nicht zu betonen“, erläutern die Google-Mitarbeiter Lucas Garron und Chris Palmer in einem Blogeintrag. Nutzer könnten den Unterschied aber weiterhin daran erkennen, dass die URL einer unvollständig verschlüsselten Seite mit „https://“ beginnt.

 

Downloads:

 
[Mit Material von Stefan Beiersmann, ZDNet.de]

 
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Google Chrome: 24 Sicherheitslücken geschlossen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *