Neben Mozilla hat auch Google gestern seinen Browser aktualisiert. Chrome 72 bringt vor allem Neuerungen in den Bereichen Web-APIs und Protokolle. Unter anderem haben die Entwickler den Support für das HTTP-basierte Public Key Pinning (HPKP) entfernt. Google schließt aber auch 58 zum Teil schwerwiegende Sicherheitslöcher.
Die Änderung dürfte indes nur wenige Websites betreffen. Da HPKP nur mit viel Aufwand zu implementieren war, geht man davon aus, dass die Technik nur von sehr wenigen Seiten eingesetzt wurde und wird.
Darüber hinaus stuft Chrome nun die Standards Transport Layer Security 1.0 und 1.1 als veraltet ein. Der Browser zeigt Websites, die für die HTTP-Verschlüsselung (HTTPS) weiterhin TLS 1.0 oder 1.1, zwar weiterhin an, meldet aber zudem einen Fehler in der Developer-Konsole. Die Unterstützung für TLS 1.0 und 1.1 soll erst mit Chrome 81 wegfallen. Diese Version des Browsers wird Anfang 2020 erwartet.
TLS 1.0 und 1.1 wurden 1999 beziehungsweise 2006 eingeführt. TLS 1.0 gilt zudem als unsicher und entspricht bereits seit Juni 2018 nicht mehr dem Payment Card Industry Data Security Standard. Mit TLS 1.2 und 1.3 werden zudem inzwischen zwei Nachfolger unterstützt. Neben Google wollen auch Apple, Microsoft und Mozilla bis Anfang 2020 den Support für TLS 1.0 und 1.1 einstellen.
Chrome 72 verweigert zudem das Rendering jeglicher Ressourcen einer Website, die über das FTP-Protokoll bereitgestellt werden. Stattdessen fordert der Browser seine Nutzer auf, die besagten Ressourcen herunterzuladen. FTP-Verzeichnisse zeigt Chrome 72 jedoch wie gewohnt an.
Von den insgesamt 58 Schwachstellen in den älteren Chrome-Version beschreibt Google in den Versionshinweisen 33 Anfälligkeiten. Darunter ist auch ein als kritisch eingestufter Fehler, der das Einschleusen von Schadcode erlaubt, der außerhalb der Sandbox ausgeführt werden kann. Der Nutzer Klzgrad, der den Bug im Dezember an Google gemeldet hat, erhält eine Prämie von 7500 Dollar.
Von weiteren 16 Sicherheitslöchern geht ein hohes Risiko aus. Sie stecken unter anderem in der JavaScript-Engine V8, dem PDF-Rendere PDFium, der Browser-Engine Blink sowie Protokollen wie WebRTC und HTML und der Graphics Engine Skia.
Den Entdeckern der Schwachstellen zahlt Google insgesamt eine Belohnung von 50.500 Dollar. Die Höhe der einzelnen Prämien richtet sich nach der Schwere der gefundene Anfälligkeiten.
Chrome 72 wird ab sofort über die Update-Funktion des Browsers verteilt. Zum Abschluss der Installation muss der Browser unter Umständen neu gestartet werden. Die neue Version steht wie immer für Windows, macOS und Linux zur Verfügung.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…