Categories: BrowserWorkspace

Chrome 44 stopft 43 Sicherheitslöcher

Google hat seinen Browser Chrome auf die Version 44.0.2403.89 aktualisiert. Sie steht für Windows, OS X und Linux zur Verfügung und enthält neue Programmierschnittstellen für Apps und Erweiterungen. Die Entwickler haben nach eigenen Angaben auch die Stabilität und Leistung der Anwendung verbessert. Außerdem schließt Chrome 44 insgesamt 43 Sicherheitslücken, von denen in mindestens 12 Fällen ein hohes Risiko ausgeht.

Den Versionshinweisen zufolge behebt Google mehrere Heap-Puffer-Überläufe in Chromes PDF-Viewer. Ein Angreifer könnte die Schwachstellen benutzen, um Schadcode einzuschleusen und innerhalb der Sandbox des Browsers auszuführen. Das gilt auch für mehrere Use-after-free-Bugs, unter anderem in der Browserengine Blink. Letztere war in der in der Vorgängerversion auch anfällig für Universal-Cross-Site-Scripting (UXSS).

Eine solche Lücke hat Google auch in Chrome für Android geschlossen. Darüber hinaus erlaubten die Einstellungen des Browsers die sofortige Ausführung von Dateien nach dem Download. Außerdem soll es nun nicht mehr möglich sein, PDF-Dateien für Spoofing-Angriffe zu benutzen.

Den Entdeckern der Schwachstellen zahlt Google diesmal eine Belohnung von 39.674 Dollar, wobei die Prämien für vier Anfälligkeiten noch nicht festgelegt wurden. Jeweils 7500 Dollar gehen an einen anonymen Nutzer und an Wang Tao vom Baidu X-Team sowie 8000 Dollar an den Nutzer Cloudfuzzer, der zwei Sicherheitslücken eingereicht hat. Die Höhe der Prämien richtet sich nach der Schwere der gefundenen Schwachstellen.

Zu den mit Chrome 44 eingeführten Neuerungen macht Google bisher keine Angaben. Anfang Juni beschrieb Software Engineer Peter Beverloo jedoch in einem Blogeintrag Verbesserungen der Benachrichtigungs-API in Chrome 44 Beta, die nun auch in der Final enthalten sein sollten.

Die Funktion „getNotifications“ erlaubt es Websites zu kontrollieren, ob Benachrichtigungen, die sie eingeblendet haben, immer noch angezeigt werden. Über die Funktion „Notification.data“ lässt sich zudem feststellen, auf welche Benachrichtigung ein Nutzer geklickt hat.

Downloads:

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.