Google schließt 24 Sicherheitslücken in Chrome

Google hat seinen Browser Chrome auf die Version 46.0.2409.71 aktualisiert. Das Update enthält Fixes für insgesamt 24 Sicherheitslücken. Von mindestens vier Anfälligkeiten geht ein hohes Risiko aus. Sie ermöglichen nach Unternehmensangaben das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox des Browsers. Außerdem enthält der Browser die neuste Version von Adobe Flash Player, die allerdings eine Zero-Day-Lücke enthält.

Im HTML-Renderer Blink hat Google einen Fehler beseitigt, der es ermöglicht, die Cross-Origin-Richtlinie zu umgehen. Der Entdecker der Lücke, Mariusz Mlynski, erhält dafür eine Belohnung von 8837 Dollar. 6337 Dollar zahlt Google an einen anonymen Sicherheitsforscher, der Details zu einem Use-after-free-Bug in PDFium gemeldet hat. Einen weiteren Use-after-free-Bug hat Google in ServiceWorker beseitigt. Die Details dazu lieferte Collin Payne, dessen Arbeit das Unternehmen mit 3500 Dollar entlohnt. Details zu einem weiteren Fehler in PDFium kamen von Atte Kettunen von der University of Oulu in Finnland. Seine Prämie beläuft sich auf 3000 Dollar.

Darüber hinaus waren in der Vorgängerversion die Komponenten LocalStorage, libAngle, FFMpeg und CSS Fonts fehlerhaft. Details nennt Google allerdings nur zu acht Schwachstellen, da einige der Fehler möglicherweise auch Software von Drittanbietern betreffen, die noch keinen Patch entwickelt haben.

Mit Chrome 46 ändert Google aber auch, wie der Browser in der Adressleiste Websites kennzeichnet, die sicheres HTTP (HTTPS) nutzen. Anwender erhalten nun keinen Hinweis mehr darauf, dass eine HTTPS-Verbindung „kleine Fehler“ hat. Davon sind Google zufolge Seiten betroffen, die verschlüsselte und unverschlüsselte Inhalte haben. Sie behandelt Google nun wie Seiten mit einer unverschlüsselten Verbindung. Vollständig verschlüsselte Seiten markiert Google weiterhin mit einem grünen Schloss-Symbol, Seiten die beispielsweise ein abgelaufenes Zertifikat verwenden, mit einem roten Symbol.

„Wir haben festgestellt, dass unser gelbes ‚Warndreieck‘ im Vergleich zum Symbol für HTTP-Seiten verwirrend sein kann, und wir glauben, dass es besser ist, den Unterschied in Bezug auf die Sicherheit zwischen diesen beiden Zuständen nicht zu betonen“, erläutern die Google-Mitarbeiter Lucas Garron und Chris Palmer in einem Blogeintrag. Nutzer könnten den Unterschied aber weiterhin daran erkennen, dass die URL einer unvollständig verschlüsselten Seite mit „https://“ beginnt.

Chrome 46 steht ab sofort für Windows, Mac OS X, Linux und Chrome OS zur Verfügung. Nutzer, die den Browser bereits einsetzen, erhalten das Update automatisch. Google verteilt die neue Version aber auch über seine Website.

Downloads:

• Download Chrome Standalone
• Download Chrome für Unternehmen Standalone
• Download Chrome für OS X Standalone

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.