Microsoft hat eine seit Oktober 2013 bekannte Zero-Day-Lücke bislang nicht behoben. Unklar ist, ob sie sich zu schwer schließen lässt oder ob die Untatätigkeit mit dem Support-Ende von Windows XP zusammenhängt. Angreifer könnten über die Schwachstelle Schadcode ausführen. Sie soll aber nicht bisher nicht ausgenutzt worden sein.

Bestimmte Touch-Gesten lassen sich von Entwicklern nun für Teilbereiche einer Website deaktivieren um Fehlbedienungen zu vermeiden. Zudem führt Chrome 35 auch neue JavaScript-Funktionen ein. Außerdem schließt Google in der aktuellen Version seines Browsers 23 Sicherheitslücken.

In Kooperation mit Adobe wird ein sogenanntes Content Decryption Module für Firefox bereitgestellt. Anders als die restliche Codebasis des Browsers steht es unter einer proprietären Lizenz. Nach eigenen Angaben beugt sich Mozilla dem Druck von Google, Microsoft und Apple.

Auf der Neuer-Tab-Seite werden nur gesponserte Inhalte von “handverlesenen Partnern” Platz finden. Bald sollen erste Tests mit den als Directory Tiles bezeichneten Anzeigen starten. Mozilla will neben dem Anwenderinteresse so auch einen möglichen Mehrwert für die Nutzer herausfinden.

Die Browser-Erweiterung der US-Bürgerrechtsorganisation EFF ist für Firefox und Chrome in einer Alpha-Version verfügbar. Sie erkennt und blockiert Werbenetzwerke und andere Dritt-Websites, die das Nutzerverhalten mittels Tracking-Cookies aufzeichnen und die Do-Not-Track-Anweisung des Browsers nicht befolgen.

Demnach führt eine auf einer manipulierten Website integrierte Flash-Datei einen sogenannten Heap Spray durch. Im Anschluss wird die Lücke durch Aufruf von JavaScript ausgenutzt. Am 1. Mai hat Microsoft die Lücke mit einem außerplanmäßigen Update geschlossen. Es steht auch für Windows XP zur Verfügung.

Der Patch ist seit gestern Abend als Download verfügbar. Er schließt – auch unter Windows XP – die seit nahezu einer Woche bekannte Zero-Day-Lücke in den Internet-Explorer-Versionen 6, 7, 8, 9, 10 und 11. Microsoft drängt seine Kunden jedoch weiterhin zur Migration von Windows XP auf Windows 7 oder 8.1.

Die neue Version des Mozilla-Browsers ermöglicht zudem eine bessere Synchronisation. Anwender werden mit einer interaktiven Einführung mit den Änderungen bekannt gemacht. Die Software steht für Windows, OS X und Linux zum Download bereit.

Während ChaCha20 für die symmetrische Verschlüsselung konzipiert wurde, ist Poly1305 für die Authentifizierung vorgesehen. Sicherheitsforscher Daniel Bernstein aus Chicago hat beide entwickelt. Eine Standardisierung ist bereits in Arbeit. Die Verfahren nutzen die Hardware-Unterstützung von ARM-Chips.

Sie findet sich in allen Versionen des Browsers. Laut Microsoft ist ein Exploit ist bisher aber nur für Internet Explorer 9, 10 und 11 im Umlauf. Er verwendet eine Flash-Datei, um einen Use-After-Free-Bug im Internet Explorer auszunutzen.