Chrome 45 schließt Logjam-Lücke und behebt 28 weitere Fehler

Peter Marwan,
Sicherheit
Google Chrome (Bild: Google)

Beim Diffie-Hellman-Schlüsseltausch setzt der Google-Browser nun eine Schlüssellänge von mindestens 1024 Bit voraus. Dadurch lässt sich die als Logjam bekannt gewordene Sicherheitslücke nicht mehr ausnutzen. Außerdem schafft Chrome 45 die Ausnahmen für NPAPI-Plug-ins ab und pausiert als unwesentlich eingestufte Flash-Videos – also insbesondere Werbung.

Google hat die stabile Version von Chrome 45 beeitgestellt. Chrome 45.0.2454.85 ist für Windows, Mac und Linux verfügbar, der Browser nimmt das Update automatischvor. Wesentlichste Änderungen sind, dass NPAPI-Plug-ins endgültig wegfallen und nun auch von der stabilen Version des Google-Browsers Flash-Inhalte, die nicht als wesentlich für eine Site erachtet werden, nicht mehr automatisch abgespielt werden. Bisher war das nur bei der Beta-Version von Chrome der Fall.

Mit der Aktualisierung schließt Google auch 29 Sicherheitslücken, von denen sechs als gefährlich eingestuft werden. Außerdem wird nun Subresource Integrity unterstützt, wodurch das Risiko durch kompromittierte Server sinkt, da nur die erwarteten Ressourcen und nicht beliebige unter einer bestimmten Adresse gefundene Ressourcen genutzt werden. Außerdem nimmt die Content Security Policy jetzt Blob- und Dateisystem-URLs von der Quelle “Self” aus.

Chrome 45 schließt auch die als Logjam bezeichnete Sicherheitslücke indem für den Diffie-Hellman-Schlüsselaustausch eine Länge von mindestens 1024 Bit verlangt wird. Server-Administratoren müssen daher womöglich TLS-Einstellungen ändern, um Kompatibilität zu Chrome zu wahren.

Eine wichtige Änderung ist auch, dass Chrome jetzt importierte HTML-Dateien sofort lädt, statt zu warten, dass sie aufgerufen werden. Dies soll die Leistung des Browsers verbessern, kann aber auch das Datenvolumen erhöhen.

Pausieren von Flash-Inhalten auf einer Site hatte Google im März erstmals angekündigt. Die Funktion soll die Leistung verbessern und den Stromverbrauch auf Mobilgeräten reduzieren. Bisher konnten Nutzer diese Funktion selbst aktivieren. In Chrome 45 ist also nur, dass sie zur Standardeinstellung wird.

In Bezug auf NPAPI-Plug-ins stellt Chrome 45 die Möglichkeit ab, diese Schnittstelle vorübergehend über eine Enterprise-Richtlinie zu aktivieren. Es handelte sich dabei nur um eine übergangsweise Notlösung: Im Januar wurden NPAPI-Plug-ins mit Ausnahme der auf einer Whitelist genannten gesperrt. Im April 2015 stellte Google den Support für NPAPI in Chrome dann generell ein.

[mit Material von Florian Kalenda, ZDNet.de]

Downloads zu diesem Beitrag:

<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Lesen Sie auch :

Chrome, Edge und Safari: Chinesischer Hackerwettbewerb deckt Zero-Day-Lücken auf

Mozilla Firefox: Anwender sollen detaillierter über Tracking informiert werden

Google Chrome: neues Feature blockiert künftig ressourcenfressende Anzeigen
Peter Marwan
Autor: Peter Marwan
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen