Chrome 43 beseitigt 37 Schwachstellen

BrowserWorkspace
Google Chrome (Bild: Google)

Darunter befindet sich auch eine Sicherheitslücke, die das Ausführen von Schadcode außerhalb der Sandbox ermöglicht. Der Entdecker der Anfälligkeit erhält von Google eine Belohnung von 16.337 Dollar. Die neue Chrome-Version unterstützt nun auch die Web MIDI API für den Zugriff auf MIDI-Hardware wie Synthesizer aus Web-Anwendungen heraus.

Google hat die Final von Chrome 43 zum Download bereitgestellt. Nach Angaben des Unternehmens umfasst das Release verschiedene Bugfixes und Verbesserungen. Darüber hinaus schließt es 37 Sicherheitslücken. Eine davon ermöglicht es potenziellen Angreifern sogar, die wichtigste Sicherheitsfunktion des Browsers – nämlich die Sandbox – zu überlisten.

Von dieser Schwachstelle, aber auch von fünf weiteren Schwachstellen, geht laut den Entwicklern ein hohes Risiko aus. Ein Angreifer könnte sie nutzen, um Schadcode einzuschleusen und auszuführen. Unter anderem finden sich drei Use-after-free-Bugs in den Komponenten WebAudio, SVG und Speech.

Google hat zudem eine Cross-Site-Scripting-Lücke in der Lesezeichenverwaltung geschlossen und einen weiteren Use-after-free-Fehler im Kommunikationsstandard WebRTC eliminiert. In Chrome 42 und früher ist die Adressleiste überdies anfällig für URL-Spoofing. Ein weiteres Problem hat Google beim Download von Wörterbüchern für die Rechtschreibprüfung beseitigt. Weiterhin beinhaltet die Version 4.3.61.21 der Chrome-JavaScript-Engine V8 mehrere nicht näher spezifizierte Sicherheitskorrekturen.

Den Entdeckern der Lücken zahlt Google eine Belohnung von insgesamt 38.337 Dollar. 16.337 Dollar gehen alleine an den anonymen Finder des Sandbox-Escape-Bugs. Der deutsche Sicherheitsforscher Armin Razmdjou bekommt von Google außerdem 3000 Dollar für Einzelheiten zu einem Cross-Origin-Bypass in der Komponente Editing. Denselben Betrag zahlt Google auch an Atte Kettunen von der University of Oulu in Finnland.

Wichtigste Neuerung von Chrome 43 ist die Unterstützung für Web MIDI. Die entsprechende Programmierschnittstelle ermöglicht es, MIDI-Hardware wie Synthesizer oder DJ-Equipment auch mit Web-Anwendungen zu verwenden. Die Funktion von Web MIDI demonstriert Google in einem Video auf Youtube.

Neu ist darüber hinaus die Permissions API. Damit können Entwickler Berechtigungen anderer Programmierschnittstellen abfragen. Google will damit verhindern, dass unverständliche oder verwirrende Nachfragen nach Berechtigungen angezeigt werden, obwohl Anwender diese etwa schon in den Einstellungen des Browsers hinterlegt haben.

Chrome 43.0.2357.65 steht für Windows, Mac OS X und Linux zum Download zur Verfügung. Bei Anwendern, die den Browser bereits installiert haben, wird das Update automatisch eingespielt. Es kann aber auch von der Google-Website heruntergeladen werden.

Downloads:

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen