Chrome – Google behebt 24 Lecks

BrowserWorkspace

Chrome 46 behandelt Webseiten, die unvollständig verschlüsselt sind, jetzt wie unsichere Seiten. Darüber hinaus behebt die neue Version mehrere Sicherheits-Lecks, die das Ausführen von Schad-Code erlauben.

Google aktualisiert den Chrome mit der Version 46.0.2409.71. Das Update schließt insgesamt 24 Sicherheitslücken. Wenigstens vier dieser Lecks bedeuten laut Google ein hohes Risiko, da sie das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox des Browsers. Außerdem enthält der Browser die neuste Version von Adobe Flash Player, die allerdings eine Zero-Day-Lücke enthält.

In dem HTML-Renderer Blink beseitigt Google einen Fehler beseitigt, der das Umgehen der Cross-Origin-Richtlinie ermöglicht. Der Entdecker der Lücke, Mariusz Mlynski, erhält für das Aufspüren dieser Sicherheitslücke eine Belohnung von 8837 Dollar. 6337 Dollar zahlt Google an einen anonymen Sicherheitsforscher, der Details zu einem Use-after-free-Bug in PDFium gemeldet hat. Einen weiteren Use-after-free-Bug hat Google in ServiceWorker beseitigt. Die Details dazu lieferte Collin Payne, dessen Arbeit das Unternehmen mit 3500 Dollar entlohnt. Details zu einem weiteren Fehler in PDFium kamen von Atte Kettunen von der University of Oulu in Finnland. Seine Prämie beläuft sich auf 3000 Dollar.

Darüber hinaus waren in der Vorgängerversion die Komponenten LocalStorage, libAngle, FFMpeg und CSS Fonts fehlerhaft. Details nennt Google allerdings nur zu acht Schwachstellen, da einige der Fehler möglicherweise auch Software von Drittanbietern betreffen, die noch keinen Patch entwickelt haben.

Mit Chrome 46 ändert Google aber die Kennzeichnung von Websites, die sicheres HTTP (HTTPS) nutzen. Anwender erhalten nun keinen Hinweis mehr darauf, dass eine HTTPS-Verbindung “kleine Fehler” hat. Davon sind Google zufolge Seiten betroffen, die verschlüsselte und unverschlüsselte Inhalte haben. Sie behandelt Google nun wie Seiten mit einer unverschlüsselten Verbindung. Vollständig verschlüsselte Seiten markiert Google weiterhin mit einem grünen Schloss-Symbol, Seiten die beispielsweise ein abgelaufenes Zertifikat verwenden, mit einem roten Symbol.

Google ändert die Kennzeichnung von unvollständig verschlüsselten Web-Seiten. (Bild: Google)
Google ändert die Kennzeichnung von unvollständig verschlüsselten Web-Seiten. (Bild: Google)

“Wir haben festgestellt, dass unser gelbes ‘Warndreieck’ im Vergleich zum Symbol für HTTP-Seiten verwirrend sein kann, und wir glauben, dass es besser ist, den Unterschied in Bezug auf die Sicherheit zwischen diesen beiden Zuständen nicht zu betonen”, erläutern die Google-Mitarbeiter Lucas Garron und Chris Palmer in einem Blog. Nutzer könnten den Unterschied aber weiterhin daran erkennen, dass die URL einer unvollständig verschlüsselten Seite mit “https://” beginnt.

Chrome 46 steht ab sofort für Windows, Mac OS X, Linux und Chrome OS zur Verfügung. Nutzer, die den Browser bereits einsetzen, erhalten das Update automatisch. Google verteilt die neue Version aber auch über seine Website.

Downloads:

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen