Darunter befindet sich auch eine Sicherheitslücke, die das Ausführen von Schadcode außerhalb der Sandbox ermöglicht. Der Entdecker der Anfälligkeit erhält von Google eine Belohnung von 16.337 Dollar. Die neue Chrome-Version unterstützt nun auch die Web MIDI API für den Zugriff auf MIDI-Hardware wie Synthesizer aus Web-Anwendungen heraus.
Das Feature steht allerdings ausschließlich für Anwender von Windows Vista oder neueren Versionen des Microsoft-Betriebssystems bereit. Die Mac-OS-Variante unterstützt jetzt nativ die Wiedergabe von HTML5-Videos auf Youtube. Mozilla stopft überdies 15 Sicherheitslöcher in Firefox. Dem Unternehmen zufolge dient Firefox 38 als Basis für den nächsten ESR-Release.
Einige veraltete und unsichere Technologien aus dem Internet Explorer, darunter ActiveX und Browser Helper Objects (BHO), fallen weg. Auch Hunderte APIs, die nicht interoperabel sind und Kompatibilitätsprobleme verursachen, wurden aussortiert. Die Edge-Entwickler verzichten so insgesamt auf 220.000 Zeilen Code.
Edge – bisher als Spartan bezeichnet – basiert in Teilen auf Chrome und nutzt die von Microsoft entwickelte JavaScript-Engine Chakra. Eine Partnerschaft mit Adobe soll Formatierung und Cascading Style Sheets (CSS) verbessern. Der neue Name für den Browser – Edge – wurde bisher schon als Bezeichnung für die Rendering-Engine verwendet.
Das “Passwort-Warnung” genannte Zusatzprogramm steht kostenlos zum Download bereit. Es legt das Gmail-Passwort verschlüsselt ab und lässt sich sowohl privat als auch in Firmen nutzen. Ist letzteres der Fall, erhält im Ernstfall der Administrator einen Hinweis.
Das lässt sich aus einer Stellenanzeige für einen Marketingmanager herauslesen. Mozilla sucht zudem einen Produktmanager sowie einen Softwareentwickler für Firefox für iOS. Seine Haltung, aufgrun der Einschränungen durch das Betriebssystem grundsätzlich keinen Browser für iOS anzubieten, hatte Mozilla im Dezember aufgegeben.
In Chrome 42 kommen neue APIs zum Einsatz, mit denen Webseiten selbst dann Benachrichtigungen an die Anwender senden, wenn die jeweilige Seite geschlossen ist. Die Nutzer müssen jedoch zunächst ihr Einverständnis geben, welches sie jederzeit widerrufen können. Wie angekündigt deaktiviert die neue Browserversion zudem NPAPI standardmäßig.
Die Vorschläge gehen von einem breiten Konsens aus, dass HTTPS die Zukunft des Web bestimmen sollte. Um HTTP ohne Sicherheitsmerkmale schrittweise ins Abseits zu drängen, sollen neue, attraktive Dienste damit nicht mehr funktionieren. Unter anderem bei Google stoßen die Vorschläge offenbar auf offene Ohren.
Angreifer könnten die Sicherheitslücken ausnutzen, um Schadcode einzuschleusen und Schadcode auszuführen. Aber auch DoS-Angriffe sind möglich. Neben OS X verteilt Apple eine Aktualisierung für Safari.
Die Schwachstelle betrifft die Sicherheitsfunktion HTTP Alternative Services. Die Funktion steht seit Firefox 37 den Nutzer zur Verfügung. Mit Version 37.0.1 entfernt Mozilla sie wieder.
Mit ihm will Mozilla unmittelbar Erkenntnisse über die Nutzung des Browsers erhalten. Diese will es verwenden, um Firefox zu verbessern. Firefox 37 schließt zudem 17 Sicherheitslücken und verhindert das aus Sicherheitsaspeketen unerwünschte SSL-3.0-Fallback.
Microsoft verteilt über den sogenannten Fast Ring seit gestern Abend Build 10049. Der darin integrierte neue Browser Spartan unterstützt den Sprachassistenten Cortana sowie Stifteingaben. Die Funktion zum Kommentieren von Websites ist in der Testversion ebenso enthalten.
Auf dem von HPs Zero Day Initiative veranstalteten Wettbewerb Pwn2Own haben Sicherheitsforscher insgesamt 21 bislang unbekannte Lücken in Browsern aufgedeckt. Mozilla hat bereits zwei der drei Sicherheitslücken in Firefox geschlossen. Zusätzlich wurden wieder einmal neue Schwachstellen in Windows, Adobe Reader und Flash Player entdeckt.
Es erlaubt Spoofing und Man-in-the-Middle-Attacken. Alle Windows-Versionen von Server 2003 über Windows 8.1 bis hin zu Server 2012 R2 sind davon betroffen. Ein von Microsoft bereitgestellter Patch hindert das Betriebssystem daran, das inzwischen zurückgezogene Zertifikat einzusetzen.
Die aktualisierte Ausgabe für OS X bringt zwar keine neuen Funktionen, dafür aber Verbesserungen für Stabilität und Sicherheit. Speicherfehler in Apples Browser-Engine WebKit erlaubten es Angreifern, beliebigen Code auszuführen. Auch zu Abstürzen konnte es kommen. Aufgrund einer Inkonsistenz der Benutzeroberfläche ließen sich Phishing-Angriffe verbergen.
Der Konzern aus Redmond sucht daher nun nach einem offiziellen Namen für den Windows-10-Browser. Gegenwärtig trägt er noch den Codenamen Projekt Spartan. Laut einer eigenen Umfrage präferieren zumindest Chrome-Anwender einen Namen, der “Microsoft” beinhaltet.
Wählen Nutzer sie nicht bewusst ab, installiert sich die Ask-Suchleiste sowohl unter Chrome als auch unter Safari von selbst. Zudem ändert sich auch die Startseite auf Ask.com. Windows-Nutzern ist das Problem seit Jahren bekannt.
Gavin Millard von Tenable Network Security sieht keine große Gefahr durch die von französischen Forschen entdeckte Sicherheitslücke. Ähnlich wie zuvor bei Poodle sei ein Angriff nur schwer zu bewerkstelligen, da zahlreiche Schritte nötig seien, um die Schwachstelle auszunutzen.
Der Browser unterstützt nun auch den erst kürzlich verabschiedeten Standard HTTP/2. Er sorgt Mozilla zufolge für ein “schnelleres, skalierbareres und responsiveres” Web. Mit Firefox 36 können Nutzer zudem auch an die Seite “Neuer Tab” angeheftete Kacheln synchronisieren. Außerdem schließt das Update 18 Sicherheitslücken.
Das geht aus einer Untersuchung von GFI Software auf Grundlage von Zahlen in der National Vulnerability Database hervor. Demnach wurden im vergangenen Jahr 7038 neue Sicherheitslücken in die Datenbank der US-Regierung aufgenommen. Ihre Anzahl ist signifikant höher als noch 2013. 24 Prozent der neu verzeichneten Schwachstellen wurden als “sehr gravierend” eingestuft.
Die auf Lenovo-Notebooks vorinstallierte Adware verwendet ein Software Development Kit (SDK) eines israelischen Unternehmens. Das SDK namens SSL Decoder/Digestor findet sich wiederum in anderen Programmen. Unter anderem zählen hierzu einem Bericht von Computerworld auch mehrere Jugendschutzfilter.
Microsoft will sie in seine JavaScript-Engine Chakra einbauen, welche eine Kernkomponente des kommenden Internet Explorers 12 sowie des neuen Browsers Spartan darstellt. Der Softwarekonzern verspricht sich davon eine signifikant höhere JavaScript-Performance bei gleichzeitig garantierter Interoperabilität zwischen verschiedenen Plattformen und Browser.
Seit etwa Mitte letzten Jahres hat Lenovo die Adware Superfish Visual Discovery auf Laptops vorinstalliert. Die Software kompromittiert die Verbindungsdaten verschlüsselter Websites mittels eines eigenen Root-Zertifikats und schleust damit Werbung ein. Das Zertifikat könnte von Hackern auch für Man-in-the-Middle-Angriffe eingesetzt werden.
Es handelt sich um die erste Revision des Hypertext Transfer Protocol seit 1999. Version 2.0 soll in erster Linie die Ladezeiten verkürzen. Auch wenn HTTP 2.0 keine standardmäßige Verschlüsselung vorschreibt, unterstützen Firefox und Chrome das überarbeitete Protokoll ausschließlich mit TLS-Verschlüsselung.
In Deutschland ist sie allerdings nur für die Modelle Lumia 630, 635, 730 und 830 verfügbar. Die Vorabversion für Mobilgeräte beinhaltet zahlreiche neue Funktionen. Dazu zählt auch die Rendering-Engine des kommenden Microsoft-Browsers Spartan. Weitere Lumia-Modelle sollen durch künftige Testversionen unterstützt werden.
Die Lücke findet sich in der Sicherheitsfunktion Same-Origin-Policy. Sie ermöglicht Skriptsprachen wie JavaScript den Zugriff auf Cookies, die etwa Anmeldedaten enthalten. Ein Sicherheitsforscher hat das Leck im Internet Explorer 11 unter Windows 8.1 vorgeführt. Microsoft arbeitet Eigenen Angaben zufolge bereits an einem Sicherheits-Update.
Der neue Browser liegt jetzt als Technical Preview vor. Er ist für Windows, Mac OS und Linux erhältlich. Er richtet sich vor allem an Power-User. Vivaldi-Gründer Jon von Tetzchner wendet sich an “Tech-User, die mehr von ihrem Browser verlangen”. Insbesondere will er enttäuschte Opera-Nutzer ansprechen.
Das kündigte der für Android-Sicherheit zuständige Google-Manager via Google+ an. Ihm zufolge kann der Support für über zwei Jahre alte WebKit-Version in der Komponente WebView nicht mehr gewährleistet werden. Nutzern legt er den Umstieg auf Chrome oder Firefox nahe.
Die als “Project Spartan” entwickelte Anwendung soll der neue Standardbrowser in Windows 10 werden. Wir der Name schon andeutet, fällt sie “spartanisch” aus – soll also schneller und schlanker sein. Außerdem soll sich der Browser für Anwender auf PCs, Tablets und Smartphones identisch darstellen.
In der Mobilversion werden für die Standortbestimmung nun WLAN und Mobilfunk verwendet. Mit Public Key Pinning wurden die Authentifizierung verschlüsselter Verbindungen verbessert, beim integrierten Videochat Hello sind nun Chat-Räume verfügbar. Außerdem werden mit Firefox 35 zehn Sicherheitslücken geschlossen.
