Chrome 56 schließt 51 Sicherheitslücken

Google hat die finale Version von Chrome 56 zum Download freigegeben. Der Google-Browser warnt ab sofort, ähnlich wie auch Firefox 51, vor Log-in-Seiten, die eine unverschlüsselte HTTP-Verbindung nutzen. Darüber hinaus haben die Entwickler 51 Sicherheitslücken geschlossen.

Die Warnung „Nicht sicher“, die links neben der URL in der Adressleiste angezeigt wird, erscheint bei allen Websites, die auf eine verschlüsselte Verbindung per HTTPS verzichten und vertrauliche Daten wie Nutzernamen, Passwörter oder auch Kredit- und Kontodaten abfragen. Google zufolge ist die Warnung ein Teil der langfristigen Strategie, alle HTTP-Websites als unsicher einzustufen.

Neu ist auch die Unterstützung des Web Bluetooth API. Websites können Google zufolge nun per GATT-Protokoll mit Bluetooth-Low-Energy-Geräten wie Druckern und LED-Displays interagieren. Dafür würden nur wenige Zeilen JavaScript-Code benötigt. Beispielcode und Demos hält Google auf GitHub bereit.

Entwickler profitieren aber auch von der neuen CSS-Funktion „position: sticky“, mit der sich Elemente wie Überschriften beim Scrollen fest am oberen Bildrand positionieren lassen. Darüber hinaus aktiviert Chrome 56 auch das WebGL 2.0 API ab Werk auf allen Desktop-Plattformen. Weitere Änderungen betreffen das Notifications API und das PaymentRequest API. Alle für Entwickler relevanten Neuerungen finden sich in einem Blogeintrag.

Von mindestens sieben der insgesamt 51 Schwachstellen in Chrome 55 und früher geht ein hohes Risiko aus. Ein Angreifer kann unter Umständen Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen. Das trifft auf vier Cross-Site-Scripting-Lücken in der Browserengine Blink, einen Heap-Überlauf in der JavaScript-Engine V8 sowie Bugs in WebRTC und den DevTools zu.

Darüber hinaus sind die Komponenten Skia, Renderer, WebM, Extensions und FFmpeg angreifbar. Die Omnibox ist anfällig für Address-Spoofing. Es ist aber auch möglich, die Sicherheitsrichtlinie für Browserinhalte zu umgehen.

Für die Details zu 15 der 51 Sicherheitslöcher zahlte Google Prämien in Höhe von 54.337 Dollar. Der Sicherheitsforscher Mariusz Mlynski sicherte sich 32.337 Dollar für die vier XSS-Bugs in Blink. Der Heap-Überlauf in V8 brachte Gergely Nagy 5500 Dollar ein. Die Höhe der Belohnung richtet sich nach der Schwere der gefundenen Anfälligkeit.

Chrome 56.0.2924.76 steht ab sofort für Windows, Mac OS X und Linux zur Verfügung. Nutzer, die den Browser bereits installiert haben, erhalten das Update automatisch. Zum Abschluss der Aktualisierung ist jedoch ein Neustart des Browsers erforderlich.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.