Google stopft 40 Sicherheitslöcher in Chrome 60

Google hat die Final von Chrome 60 zum Download freigegeben. Sie steht ab sofort im Stable Channel für Windows, Mac OS X und Linux zur Verfügung. Die Version 60.0.3112.78 bringt einige neue Funktionen. In erster Linie patcht Google jedoch 40 zum Teil sehr schwerwiegende Sicherheitslücken.

Den Versionshinweisen zufolge geht von mindestens neun Anfälligkeiten – Google nennt nur Details zu 21 Schwachstellen – ein hohes Risiko aus. Ein Angreifer kann unter Umständen Schadcode einschleusen und innerhalb der Sandbox ausführen. Das gilt unter anderem für Use-after-free-Bugs in IndexedDB, der JavaScript-Engine V8 und Googles Pepper Plug-in API (PPAPI).

Die Browserengine Blink wiederum ist anfällig für Spoofing. Zudem ermöglichen die Komponenten Skia und PDFium unter Umständen eine Remotecodeausführung. Auch die Komponenten OmniBox, Chrome Apps und SQLite erhalten Fixes.

Den Entdeckern der Schwachstellen zahlt Google Belohnungen in Höhe mehr als 26.000 Dollar. 10.000 Dollar gehen an den Nutzer Ned Williamson, der die Details zu einem Use-after-Free-Bug in IndexedDB geliefert hat. Ein Use-after-free-Bug in PPAPI brachte Yu Zhou und Yuan Deng vom Ant-financial Light-Year Security Lab 5000 Dollar ein.

Neu ist, dass die Desktop-Version des Google-Browsers das Payment Request API unterstützt. Es soll Online-Einkäufe vereinfachen, indem es im Browser hinterlegte Daten zur Verfügung stellt, die für den Bezahlvorgang benötigt werden. Neu ist auch das Web Budget API, das Daten im Hintergrund mit anderen Geräten synchronisiert, vor allem dort bereits abgearbeitete Benachrichtigungen. Voraussetzung ist, dass der Nutzer einer Website das Senden von Push-Benachrichtigungen erlaubt hat.

Eine weitere neue Funktion namens CSS Font-Display soll Entwicklern mehr Kontrolle über die Darstellung von Websites geben, die eigene Schriften benutzen. Sie können nun festlegen, wann welche Inhalte angezeigt werden, während im Hintergrund die benötigte Schriftart heruntergeladen wird. Zuvor zeigte Chrome alle Inhalte erst nach Abschluss des Downloads an.

Nutzer, die Chrome bereits installiert haben, erhalten die neue Version ab sofort automatisch über die Updatefunktion des Browsers. Für den Abschluss der Installation muss Chrome gegebenenfalls neu gestartet werden. Chrome 60 steht aber auch auf der Google-Website zum Download bereit.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.