Google schließt 15 Sicherheitslücken in Chrome 51
Das Risiko, das von den Schwachstellen ausgeht, wird in mindestens zwei Fällen als hoch eingestuft. Außerdem wurden auch Fehler in der Browserengine Blink, Erweiterungen und der Grafikbibliothek Skia beseitigt. Eine Belohnung von insgesamt 26.000 Dollar geht alleine an die Entdecker von sieben der 15 entdeckten Lücken.
Google beseitigt mit dem aktuell veröffentlichten Sicherheitsupdate für Chrome 51 insgesamt 15 Anfälligkeiten in seinem Browser. Die Entwickler stufen das Risiko, das von den Sicherheitslücken ausgeht, in zwei Fällen als hoch und in fünf Fällen als moderat ein. Zu acht Lücken hält Google Details allerdings zurück, was daran liegen könnte, dass unter Umständen Software von Drittanbietern betroffen ist, die noch keinen Fix verfügbar haben.
Die Schwachstellen ermöglichen unter Umständen das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox des Browsers. Das ist mithilfe eines Cross-Origin-Bypass in der Browserengine Blink sowie dem Modul für Erweiterungen möglich.
Erweiterungen lassen sich aber auch nutzen, um auf persönliche Informationen zuzugreifen. Die Entwickler-Tools sind außerdem nicht fähig, bestimmte temporär gespeicherte Parameter zu löschen, was ebenfalls zu einer Remotecodeausführung führen könnte. Chrome 51 beseitigt aber auch zwei Use-after-free-Bugs in der Autofill-Funktion und den Erweiterungen. Ein weiterer Bug befand sich in der 2D-Grafikbibliothek Skia.
Google zahlt den Entdeckern der sieben genannten Schwachstellen eine Belohnung von 26.000 Dollar. An Mariusz Mlynski und einen anonymen Sicherheitsforscher, die die beiden mit “hoch” bewerteten Sicherheitslücken entdeckt haben, gehen jeweils 7500 Dollar. Rob Wu bekommt für Details zu drei mittelschweren Lücken ebenfalls 7500 Dollar. Die Höhe der Prämie hängt von der Schwere der gefundenen Anfälligkeiten ab.
Anwender, die Chrome bereits installiert haben, erhalten das Update auf die Version 51.0.2704.79 automatisch. Es ist außerdem auf der Google-Website für Windows, Mac OS X und Linux zum Download verfügbar. Chrome muss unter Umständen im Anschluss an die Installation neu gestartet werden.
Google verteilt die Final von Chrome 51 erst seit rund einer Woche. Sie enthält eine Programmierschnittstelle, die die Anmeldung bei Websites erleichtern soll. Sie hatte aber auch Fixes für insgesamt 42 Sicherheitslücken im Gepäck.
[Mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.