Chrome 46: Google behebt 24 Schwachstellen in seinem Browser

BrowserWorkspace
Google Chrome (Bild: Google)

Die Sicherheitslücken finden sich in Version 45 und früher. Diese ermöglichen das Einschleusen und Ausführen von Schadcode innerhalb der Browser-Sandbox. Darüber hinaus werden nur unvollständig verschlüsselte Websites mit der neuen Version künftig als komplett unverschlüsselte Seiten interpretiert.

Google hat Version 46.0.2409.71 des Browsers Chrome freigegeben. Die Aktualisierung bringt Korrekturen für insgesamt 24 Schwachstellen. Ein hohes Risiko geht von zumindest vier dieser Sicherheitslücken aus. Nach Angaben des Internetkonzerns erlauben sie das Einschleusen und Ausführen von Schadcode innerhalb der Chrome-Sandbox. Darüber hinaus integriert der Browser die jüngste Version von Adobe Flash Player, die aber wiederum einen Zero-Day-Exploit enthält.

In der HTML-Rendering-Engine Blink hat Google einen Fehler korrigiert, der es erlaubt, die Cross-Origin-Richtlinie zu umgehen. Der Entdecker der Lücke, Mariusz Mlynski, bekommt dafür eine Belohnung von 8837 Dollar. 6337 Dollar zahlt Google an einen anonymen Sicherheitsforscher, der Einzelheiten zu einem Use-after-free-Bug in PDFium gemeldet hat. Einen weiteren Use-after-free-Fehler hat Google in ServiceWorker behoben. Die Details dazu lieferte Collin Payne, dessen Bemühungen das Unternehmen mit 3500 Dollar entlohnt. Einzelheiten zu einem weiteren Bug in PDFium kamen von Atte Kettunen von der University of Oulu in Finnland. Seine Prämie beträgt 3000 Dollar.

Überdies waren in der Vorgängerversion die Komponenten LocalStorage, libAngle, FFMpeg und CSS Fonts fehlerhaft. Details nennt Google allerdings nur zu acht Anfälligkeiten, da einige der Fehler womöglich auch Software von Drittanbietern betreffen, die dafür noch keinen Patch entwickelt haben.

chrome-46-https (Screenshot: Google)
Mit Chrome 46 behandelt Google nur unvollständig verschlüsselte Websites künftig wie komplett unverschlüsselte Seiten (Screenshot: Google).

Mit Chrome 46 ändert Google aber auch die Art, wie der Browser in der Adressleiste Websites kennzeichnet, die sicheres HTTP – also HTTPS – nutzen. Anwender erhalten nun keinen Hinweis mehr darauf, dass eine HTTPS-Verbindung “kleine Fehler” enthält. Google zufolge sind davon Seiten betroffen, die sowohl verschlüsselte als auch unverschlüsselte Inhalte haben. Diese behandelt Google nun wie Seiten mit einer vollständig unverschlüsselten Verbindung. Komplett verschlüsselte Seiten markiert Google hingegen weiterhin mit einem grünen Schloss-Symbol. Seiten, die beispielsweise ein abgelaufenes Zertifikat einsetzen, werden mit einem roten Symbol gekennzeichnet.

“Wir haben festgestellt, dass unser gelbes ‘Warndreieck’ im Vergleich zum Symbol für HTTP-Seiten verwirrend sein kann, und wir glauben, dass es besser ist, den Unterschied in Bezug auf die Sicherheit zwischen diesen beiden Zuständen nicht zu betonen”, erläutern die Google-Mitarbeiter Lucas Garron und Chris Palmer in einem Blogbeitrag. Anwender könnten den Unterschied aber weiterhin daran erkennen, dass die URL einer unvollständig verschlüsselten Seite mit “https://” beginnt.

Chrome 46 steht ab sofort für Windows, Mac OS X, Linux und Chrome OS zum Download bereit. Nutzer, die den Browser bereits verwenden, erhalten das Update automatisch. Google verteilt die neue Version aber auch über seine Website.

Downloads:

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen