Chrome 45 bringt 29 Sicherheitsaktualisierungen

Google Chrome (Bild: Google)

Die Entdecker der behobenen Schwachstellen erhielten dafür bislang 40.500 Dollar. Für den Diffie-Hellman-Schlüsseltausch wird zukünftig eine Mindest-Schlüssellänge von 1024 Bit vorausgesetzt. NPAPI-Plug-ins fallen ab sofort endgültig weg, nicht zentrale Flash-Videos werden zudem nun standardmäßig pausiert.

Google hat die aktuelle Version 45 seines Browsers Chrome im Stable Channel zur Verfügung gestellt. Chrome 45.0.2454.85 steht für Windows, Mac und Linux bereit. Das Update erfolgt wie gewohnt automatisch und ohne Zutun des Anwenders. Die hervorstechendsten Änderungen sind der endgültige Wegfall von NPAPI-Plug-ins und die Tatsache, dass Chrome Flash-Inhalte nicht mehr automatisch abspielt, sofern sie nicht “zentral für eine Website” sind.

Das Update beinhaltet aber auch 29 Sicherheitskorrekturen, von denen Googles Blogbeitrag zufolge mindestens sechs die Gefährdungsstufe “hoch” besitzen. Der Internetkonzern weist zwar noch nicht für alle eine Prämie aus, addiert man aber die angeführten Prämien, ergibt sich eine Summe von 40.500 Dollar.

Überdies wurde Subresource Integrity implementiert, welches die von kompromittierten Servern ausgehende Gefahr senken soll, indem es darauf achtet, dass nur die erwarteten Ressourcen (und nicht beliebige unter einer bestimmten Adresse gefundene Ressourcen) eingesetzt werden. Eine sicherheitstechnische Verbesserung ist daneben auch, dass die Content Security Policy jetzt Blob- und Dateisystem-URLs von der Quelle “Self” ausnimmt.

Chrome 45 schließt die Sicherheitslücke Logjam, indem es für den Diffie-Hellman-Schlüsselaustausch künftig eine Länge von mindestens 1024 Bits vorausetzt. Das könnte für Server-Administratoren bedeuten, dass sie ihre TLS-Einstellungen ändern müssen, um Chrome weiterhin unterstützen zu können.

Eine wichtige Änderung ist auch, dass Chrome jetzt importierte HTML-Dateien sofort lädt, statt darauf zu warten, dass sie aufgerufen werden. Dies verbessert die Leistung des Browsers, kann aber auch das Datenvolumen vergrößern. Im Zuge einer Änderung der Benachrichtigungen unter Android können Websites nun die ausgelösten Vibrationen modifizieren.

Das Pausieren von für eine Seite nicht zentralen Flash-Inhalten hatte Google im März erstmals angekündigt und Ende August noch einmal gesondert darüber informiert: “Wir werden Inhalte (wie Flash-Animationen) intelligent pausieren, die nicht zentral für eine Website sind, während zentrale Inhalte (etwa ein Video) ohne Unterbrechung abgespielt werden. Wenn wir versehentlich etwas pausieren, woran Sie interessiert sind, können Sie einfach darauf klicken, damit es weiterläuft.” Das neue Feature solle die Leistung verbessern und der Stromersparnis auf Notebooks dienen, so Google weiter. Bislang konnten Anwender diese Funktion selbst aktivieren; neu ist in Chrome 45 nur, dass sie zur Standardeinstellung wird.

Was NPAPI-Plug-ins angeht, deaktiviert Chrome 45 die Möglichkeit, diese Schnittstelle vorübergehend über eine Enterprise-Richtlinie wieder einzuschalten. Dies entspricht einem im November 2014 vorgelegten Zeitplan. Es handelte sich nur um eine übergangsweise Notlösung: Im Januar wurden NPAPI-Plug-ins mit Ausnahme der auf einer Whitelist genannten gesperrt, und im April 2015 stellte Google generell den Support für NPAPI in Chrome ein.

Downloads:

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.