Google schließt 159 Sicherheitslücken in Chrome

Darunter ist eine als kritisch eingestufte Schwachstelle in der JavaScript-Engine V8. Ein Angreifer könnte darüber Schadcode einschleusen und außerhalb der Sandbox ausführen. Der Entdecker der Anfälligkeit erhält eine Belohnung von 27.633,70 Dollar.

Google hat seinen Browser Chrome auf die Version 38.0.2125.101 aktualisiert. Sie steht für Windows, Mac OS X und Linux zur Verfügung. Den Versionshinweisen zufolge haben die Entwickler insgesamt 159 Sicherheitslöcher gestopft, von denen Google 113 als „unbedeutende Fixes“ bezeichnet. Zudem enthält Chrome 38 mehrere neue Programmierschnittstellen (Application Programming Interface, API) für Apps und Erweiterungen sowie Veränderungen „unter der Haube“, die die Stabilität und Leistung des Browsers verbessern sollen.

Google ChromeDie 113 geringfügigen Korrekturen sollen Speicherfehler beheben, die mithilfe des Tools MemorySanitizer gefunden wurden. Darüber hinaus nennt Google nur Details zu 13 Schwachstellen. Eine davon stuft es als kritisch ein. Ein Angreifer könnte über eine Kombination aus V8- und IPC-Bugs Schadcode einschleusen und außerhalb der Sandbox ausführen.

Von weiteren sechs Anfälligkeiten geht ein hohes Risiko aus. Unter anderem behebt Google Use-after-free-Bugs in den Komponenten Event, Rendering, DOM und Web Workers. Ein Out-of-bounds-Fehler bei der Verarbeitung von PDF-Dateien kann ebenfalls zu einer Remotecodeausführung innerhalb der Sandbox führen. Außerdem gibt die Vorgängerversion durch Fehler in der JavaScript-Engine V8 und im XSS-Auditor möglicherweise Informationen preis.

Den Entdeckern der Sicherheitslücken zahlt Google eine Belohnung von insgesamt 52.633,70 Dollar. 27.633,70 Dollar erhält alleine der Sicherheitsforscher Jüri Aedla für die Details zu der als kritisch eingestuften Schwachstelle. Ein anderer Bug brachte im zusätzliche 4500 Dollar ein. Weitere 11.000 Dollar gehen an einen Nutzern namens „Cloudfuzzer“.

Darüber hinaus haben Atte Kettunen von der Oulu University in Finnland sowie der Sicherheitsforscher Collin Payne Google bei der Entwicklung von Chrome 38 unterstützt und dadurch laut Google verhindert, dass sicherheitsrelevante Fehler den Stable Channel erreichen. Ihnen zahlt Google dafür eine Belohnung von 23.000 Dollar.

Nutzer, die die Desktop-Version von Chrome schon installiert haben, erhalten das fehlerbereinigte Release automatisch. Es kann auch. von der Google-Website geladen werden. Das kritische Loch stopft Google außerdem in Chrome OS 38.0.2125.101. Zudem steht in Apples App Store eine neue Version von Chrome für iOS zum Download bereit, die die Unterstützung von iPhone 6 und iPhone 6 Plus verbessert und ein Sicherheitsproblem mit Facetime behebt.

Downloads:

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Chrome, Google, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Google schließt 159 Sicherheitslücken in Chrome

Kommentar hinzufügen
  • Am 8. Oktober 2014 um 12:20 von Oh

    159 nur in Chrome? Umd da zetern einige über 60 in einem ganzen BetriebssStem? Num ja.

    • Am 8. Oktober 2014 um 19:35 von punisher

      Chrome is nicht mein Ding, aber jetzt einen Browser mit einem Betriebssystem zu vergleichen, naja das ist wirklich sinnlos. Browser ist mal schnell gewechselt, Betriebssystem nicht ganz so simpel.

      • Am 8. Oktober 2014 um 23:12 von Jawoll

        Aber nur in einem Browser 159 Bugs – und da heisst es immer, google würde als Software Bude ’sauber‘ arbeiten.

        So viele Bugs hat Win 7 bis zum SP 1 zusammenbekommen. Und das ist ein mächtiges Betriebssystem (inkl IExplorer!) und nicht nur ein schäbiger Browser.

        So entzaubert sich Google selber. ;-)

        • Am 9. Oktober 2014 um 10:07 von punisher

          “unbedeutende Fixes” hast du wohl überlesen.
          „Die 113 geringfügigen Korrekturen sollen Speicherfehler beheben, die mithilfe des Tools MemorySanitizer gefunden wurden. Darüber hinaus nennt Google nur Details zu 13 Schwachstellen.“

          Dann viel Spaß beim aufspielen ;)

        • Am 9. Oktober 2014 um 10:36 von Judas Ischias

          Wer behauptet das, dass Google als Softwarebude „sauber“ arbeitet?
          Da gibt es doch bestimmt ein paar Links, oder etwa nicht? ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *