Google muss schon wieder gravierende Schwachstelle in Chrome 50 beseitigen
Sie betrifft die Versionen für Windows, OS X sowie Linux. Google zahlt für das Aufdecken von insgesamt fünf Sicherheitslücken eine Belohnung von 20.337 Dollar. Mit der Aktualisierung wird auch die seit Anfang der Woche bekannte Zero-Day-Lücke in Adobes Flash-Plug-in geschlossen.
Google hat eine weitere Sicherheitsaktualisierung für Chrome 50 freigegeben. Version 50.0.2661.102 für Windows, OS X und Linux schließt insgesamt fünf Lücken. Drei der Schwachstellen stellen ein hohes Risiko dar. Mit ihrer Hilfe ist ein Angreifer in der Lage, Schadcode einzuschleusen und innerhalb der Sandbox des Browsers auszuführen. Überdies bringt das Update das integrierte Flash-Plug-in auf Version 21.0.0.242.
Die Entwickler haben zudem zwei Fehler behoben, die das Aushebeln der Same-Origin-Richtlinie erlauben. Einer von ihnen findet sich in DOM, ein weiterer in der Schnittstelle zwischen der Browserengine Blink und der JavaScript-Engine V8. Als hohes Sicherheitsrisiko wird von Google außerdem auch ein Pufferüberlauf in V8 bewertet.
Google zahlt den Entdeckern der fünf Anfälligkeiten eine Belohnung von 20.337 Dollar. 15.500 Dollar gehen dabei an den Sicherheitsforscher Mariusz Mlynski, der zwei Schwachstellen gemeldet hat. Weitere 3000 Dollar überweist Google an Choongwoo Han und 1337 Dollar an einen nicht näher genannten Anwender.
Nach Einspielen der Aktualisierung sollte auch die neue Version 21.0.0.242 des Flash-Plug-ins an Bord sein. Es handelt sich dabei um das gestern von Adobe angekündigte Update, das unter anderem einen Patch für eine Zero-Day-Lücke umfasst. Microsoft liefert den Patch schon seit gestern an Anwender von Internet Explorer 11 für Windows 8 und Windows 10 sowie Edge für Windows 10 aus.
Adobe selbst hat das Update für heute angekündigt. In seinem Bulletin listet Microsoft für den Flash Player insgesamt 24 Anfälligkeiten auf – Adobe hat zur Zahl der zu schließenden Lücken noch keine Angaben gemacht.
Google hatte die finale Version von Chrome 50 Mitte April veröffentlicht. Sie brachte bereits Patches für 20 Sicherheitslücken. Ein weiteres Sicherheitsupdate vor knapp zwei Wochen brachte dann mit Patches für 9 Schwachstellen. Anwender, die Chrome bereits eingespielt haben, bekommen die neue Version automatisch. Diese lässt sich jedoch auch von der Google-Website herunterladen.
Da Browser-Plug-Ins wie Flash, Silverlight, PDF oder Java häufig von Hackern für Attacken eingesetzt werden, sollten Anwender darauf entweder komplett verzichten oder sie derart konfigurieren, dass sie nicht automatisch Inhalte wiedergeben, sondern erst beim Nutzer um Erlaubnis zum Abspielen bitten. Diese als „Click-To-Play“ bekannte Funktion liefern unter anderen Firefox und Chrome.
Downloads:
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.