Google schließt erneut vier Sicherheitslücken in Chrome 16

Google hat nur rund zwei Wochen nach der Veröffentlichung des letzten Sicherheitsupdates für Chrome 16 eine weitere Aktualisierung bereitgestellt. Sie beseitigt insgesamt vier Schwachstellen. Das Risiko der Anfälligkeiten bewertet das Unternehmen mit „hoch“, da ein Angreifer darüber Schadcode einschleusen und innerhalb der Sandbox ausführen könnte.

Chrome 16.0.912.77 korrigiert unter anderem einen Pufferüberlauf in Tree Builder und ein Problem mit einem nicht initialisierten Wert in Skia. Zudem stecken den Versionshinweisen zufolge zwei Use-after-free-Bugs in DOM (Document Object Model).

Darüber hinaus informiert Google über einen Fehler in den Release Notes der Vorgängerversion 16.0.912.75. Sie schloss demnach auch eine ursprünglich nicht erwähnte „kritische“ Sicherheitslücke – Googles höchste Risikobewertung für Browserschwachstellen. Dabei handelte es sich um einen Use-after-free-Bug in der Safe-Browsing-Navigation, der sich zum Ausführen von Schadcode außerhalb der Sandbox des Browsers ausnutzen lässt.

Den Entdeckern von drei der vier Schwachstellen zahlt Google eine Belohnung von 3000 Dollar. Dazu kommen weitere 3133,70 Dollar für die kritische Lücke in der Vorgängerversion. Sie gehen an den Sicherheitsforscher Chamal de Silva, der schon sechsmal in der „Security Hall of Fame“ des Chromium-Projekts gelistet ist.

Chrome 16.0.912.77 steht für Windows, Mac, Linux und Chrome Frame zur Verfügung. Nutzer, die den Browser schon installiert haben, erhalten das Update automatisch. Es kann aber auch von der Google-Website heruntergeladen werden.

Download:

• Google Chrome 16.0 (912.77) für Windows
• Google Chrome 16.0 (912.77) für Mac OS