Chrome 49 schließt 26 Sicherheitslücken

Google hat Chrome 49 zum Download freigegeben. Die neue Version korrigiert zahlreiche Fehler und enthält auch neue Funktionen für Entwickler. In erster Linie stopft sie jedoch 26 Sicherheitslöcher. Von mindestens acht Anfälligkeiten geht ein hohes Risiko aus. Ein Angreifer könnte Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.

Der Schweregrad der Sicherheitslücken lässt sich auch an den von Google gezahlten Belohnungen ablesen. Insgesamt 36.500 Dollar überweist das Unternehmen an Sicherheitsforscher, die Details zu 13 der 26 Schwachstellen geliefert haben. 15.500 Dollar gehen an Mariusz Mlynski, 6000 Dollar an „cloudfuzzer“ und 3000 Dollar an Rob Wu. Die drei Forscher meldeten jeweils zwei Anfälligkeiten. Darüber hinaus erhielten Sicherheitsspezialisten, die Fehler in nicht stabilen Versionen des Google-Browsers entdeckt haben, Prämien in Höhe von 14.500 Dollar.

Das Update korrigiert zwei Fehler, die das Umgehen der Same-Origin-Richtlinie erlauben, und zwar im Pepper-Plug-in und der Browserengine Blink. In Blink stecken zudem drei Use-after-free-Bugs, die Google mit Chrome 49 beseitigt hat. Die Open-Source-Grafikbibliothek Skia gibt zudem unter Umständen persönliche Informationen preis.

Darüber hinaus enthält Chrome 49 auch Fixes für Bugs, die Google bei internen Sicherheitsprüfungen entdeckt hat. Darunter ist offenbar auch eine kritische Lücke, die es einem Angreifer laut Googles Definition ermöglicht, Schadcode außerhalb der Sandbox auszuführen. Details zu dieser Schwachstelle macht Google jedoch nicht öffentlich.

Entwickler profitieren von einer neuen Programmierschnittstelle, die es erlaubt, Service Workers auch im Hintergrund zu synchronisieren. Als Beispiel nennt Google einen browserbasierten E-Mail-Client, über den ein Nutzer eine Nachricht verschickt und die Seite verlässt, bevor die Synchronisation abgeschlossen wurde. Die Background Sync API gleicht in dem Fall einmalig lokale Daten im Hintergrund ab, ohne dass die zugehörige Website geöffnet ist.

Google hat aber auch den Support für ECMA Script 2015 verbessert. Die aktuelle Version der JavaScript-Engine V8 unterstützt 91 Prozent der neuesten ECMA-Script-Funktionen.

Chrome 49 steht für Windows, Mac OS X und Linux zur Verfügung. Nutzer, die den Browser installiert haben, erhalten das Update automatisch – möglicherweise jedoch erst nach einem Neustart der Anwendung. Es kann aber auch von der Google-Website geladen werden.

Downloads:

• Chrome Standalone
• Chrome für Unternehmen Standalone
• Chrome für OS X Standalone

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.