Chrome 53 stopft 33 Sicherheitslücken und schaltet Flash-Tracking ab

Google hat mit der automatischen Verteilung von Chrome 53 für Linux, Mac OS und Windows begonnen. Das Update beseitigt 33 Schwachstellen und verhindert wie angekündigt das Ausführen von Flash-Programmen im Hintergrund, die dem Tracking von Anwendern dienen.

Der Stopp von Hintergrund-Flash ist nur einer von mehreren Schritten, die Browserhersteller Google gegen die Adobe-Webtechnik angekündigt hat. Ein Flash-Player-Plug-in ist vorerst aber weiter in Chrome enthalten. Mit Chrome 55, das für Dezember angekündigt ist, soll die endgültige Umstellung auf die offene Alternative HTML5 erfolgen.

Laut Googles Ankündigung vom August sind rund 90 Prozent aller heutigen Flash-Elemente für den Endanwender nicht sichtbar. Sie haben für den Besucher der Website keinen Nutzen und sorgen lediglich dafür, dass die Seite langsamer lädt. Vor allem aber rufen sie die Flash-APIs enumerateFonts und ExternalInterface auf, um eine Liste aller auf dem Rechner installierten Schriftarten und so ein weiteres Merkmal zur Identifikation auch nicht eingeloggter Anwender zu erhalten – also für so genanntes Fingerprinting.

Mit Chrome 42 hatte Google im vergangenen Jahr schon das automatische Abspielen nicht zentraler Flash-Inhalte – also typischerweise von Werbeformaten am Rand – unterdrückt. Mozilla Firefox und Microsofts neuer Browser Edge in der Version des Anniversary Update gewähren dem Nutzer bereits vergleichbare Kontrolle über Flash-Inhalte. Bei Firefox und Chrome konnte man Plug-ins wie Flash, PDF, Java oder Silverlight bisher so einstellen, dass Inhalte damit erst nach Zustimmung abgespielt werden.

Die 33 in Chrome 53 steckenden Sicherheitspatches decken 13 Lücken von hohem Schweregrad ab, darunter zwei universelle Cross-Site-Scripting-Bugs in der Rendering-Engine Blink. Auch eine Möglichkeit, Scripts in Erweiterungen zu injizieren, wurde unterbunden. Die Hinweise auf diese drei Lücken honorierte Google jeweils mit 7500 Dollar.

Insgesamt zahlte Google im Rahmen seines Prämienprogramms bisher 56.500 Dollar für Lücken, die es in Chrome 53 stopft. Die Summe könnte allerdings noch steigen, da das Unternehmen demnächst den Wert von drei schwerwiegenden Fehlern im integrierten PDF-Reader PDFium bestimmen muss. Behoben wurden sie bereits.

Chrome 53.0.2785.89 steht ab sofort für Windows, Mac OS X und Linux zum Download bereit. Nutzer, die den Browser installiert haben, erhalten das Update automatisch. Zum Abschluss der Installation muss Chrome in der Regel neu gestartet werden. Das Update kann aber auch von der Google-Website geladen werden.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.