Neben Mozilla hat auch Google gestern seinen Browser aktualisiert. Chrome 72 bringt vor allem Neuerungen in den Bereichen Web-APIs und Protokolle. Unter anderem haben die Entwickler den Support für das HTTP-basierte Public Key Pinning (HPKP) entfernt. Google schließt aber auch 58 zum Teil schwerwiegende Sicherheitslöcher.
Die Änderung dürfte indes nur wenige Websites betreffen. Da HPKP nur mit viel Aufwand zu implementieren war, geht man davon aus, dass die Technik nur von sehr wenigen Seiten eingesetzt wurde und wird.
Darüber hinaus stuft Chrome nun die Standards Transport Layer Security 1.0 und 1.1 als veraltet ein. Der Browser zeigt Websites, die für die HTTP-Verschlüsselung (HTTPS) weiterhin TLS 1.0 oder 1.1, zwar weiterhin an, meldet aber zudem einen Fehler in der Developer-Konsole. Die Unterstützung für TLS 1.0 und 1.1 soll erst mit Chrome 81 wegfallen. Diese Version des Browsers wird Anfang 2020 erwartet.
TLS 1.0 und 1.1 wurden 1999 beziehungsweise 2006 eingeführt. TLS 1.0 gilt zudem als unsicher und entspricht bereits seit Juni 2018 nicht mehr dem Payment Card Industry Data Security Standard. Mit TLS 1.2 und 1.3 werden zudem inzwischen zwei Nachfolger unterstützt. Neben Google wollen auch Apple, Microsoft und Mozilla bis Anfang 2020 den Support für TLS 1.0 und 1.1 einstellen.
Chrome 72 verweigert zudem das Rendering jeglicher Ressourcen einer Website, die über das FTP-Protokoll bereitgestellt werden. Stattdessen fordert der Browser seine Nutzer auf, die besagten Ressourcen herunterzuladen. FTP-Verzeichnisse zeigt Chrome 72 jedoch wie gewohnt an.
Von den insgesamt 58 Schwachstellen in den älteren Chrome-Version beschreibt Google in den Versionshinweisen 33 Anfälligkeiten. Darunter ist auch ein als kritisch eingestufter Fehler, der das Einschleusen von Schadcode erlaubt, der außerhalb der Sandbox ausgeführt werden kann. Der Nutzer Klzgrad, der den Bug im Dezember an Google gemeldet hat, erhält eine Prämie von 7500 Dollar.
Von weiteren 16 Sicherheitslöchern geht ein hohes Risiko aus. Sie stecken unter anderem in der JavaScript-Engine V8, dem PDF-Rendere PDFium, der Browser-Engine Blink sowie Protokollen wie WebRTC und HTML und der Graphics Engine Skia.
Den Entdeckern der Schwachstellen zahlt Google insgesamt eine Belohnung von 50.500 Dollar. Die Höhe der einzelnen Prämien richtet sich nach der Schwere der gefundene Anfälligkeiten.
Chrome 72 wird ab sofort über die Update-Funktion des Browsers verteilt. Zum Abschluss der Installation muss der Browser unter Umständen neu gestartet werden. Die neue Version steht wie immer für Windows, macOS und Linux zur Verfügung.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.