Die neue Version 49, die Google jetzt zum Download freigegeben hat, beseitigt zahlreiche Fehler und enthält auch neue Funktionen für Entwickler. In erster Linie stopft sie jedoch 26 Sicherheitslücken. Von mindestens acht Anfälligkeiten geht ein hohes Risiko aus. Ein Angreifer könnte Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.
Chrome 49 steht für Windows, Mac OS X und Linux zur Verfügung. Nutzer, die den Browser installiert haben, erhalten das Update automatisch – möglicherweise jedoch erst nach einem Neustart der Anwendung. Es kann aber auch von der Google-Website geladen werden.
An den von Google gezahlten Belohnungen lässt sich recht einfach auch der Schweregrad der Sicherheitslücken ablesen. Google überweist insgesamt 36.500 Dollar an Sicherheitsforscher, die Details zu 13 der 26 Schwachstellen geliefert haben. 15.500 Dollar gehen an Mariusz Mlynski, 6000 Dollar an „cloudfuzzer“ und 3000 Dollar an Rob Wu. Die drei Forscher meldeten jeweils zwei Anfälligkeiten. Darüber hinaus erhielten Sicherheitsspezialisten, die Fehler in nicht stabilen Versionen des Google-Browsers entdeckt haben, Prämien in Höhe von 14.500 Dollar.
Das Update korrigiert zwei Fehler, die das Umgehen der Same-Origin-Richtlinie erlauben, und zwar im Pepper-Plug-in und der Browserengine Blink. In Blink stecken zudem drei Use-after-free-Bugs, die Google mit Chrome 49 beseitigt hat. Die Open-Source-Grafikbibliothek Skia gibt zudem unter Umständen persönliche Informationen preis.
Chrome 49 enthält darüber hinaus auch Fixes für Bugs, die Google bei internen Sicherheitsprüfungen entdeckt hat. Darunter ist offenbar auch eine kritische Lücke, die es einem Angreifer laut Googles Definition ermöglicht, Schadcode außerhalb der Sandbox auszuführen. Details zu dieser Schwachstelle macht Google jedoch nicht öffentlich.
Entwickler profitieren von einer neuen Programmierschnittstelle, die es erlaubt, Service Workers auch im Hintergrund zu synchronisieren. Als Beispiel nennt Google einen browserbasierten E-Mail-Client, über den ein Nutzer eine Nachricht verschickt und die Seite verlässt, bevor die Synchronisation abgeschlossen wurde. Die Background Sync API gleicht in dem Fall einmalig lokale Daten im Hintergrund ab, ohne dass die zugehörige Website geöffnet ist.
Google hat aber auch den Support für ECMA Script 2015 verbessert. Die aktuelle Version der JavaScript-Engine V8 unterstützt 91 Prozent der neuesten ECMA-Script-Funktionen.
Downloads:
[Mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de
Neueste Kommentare
Noch keine Kommentare zu Google Chrome: Version 49 beseitigt 26 Schwachstellen
Vielen dank für Ihren Kommentar.
Ihre Kommentar wurde gespeichert und wartet auf Moderation.