89806

Google stopft drei Sicherheitslücken in Chrome

30.01.2009 | 14:44 Uhr |

Mit einem Update auf die neue Version 1.0.154.46 seines Web-Browsers Chrome beseitigt Google Sicherheitslücken, die durch das Plugin für den Adobe Reader entstehen sowie eine weitere Scripting-Schwachstelle.

Auch wenn Google seinen Browser Chrome recht früh aus dem Beta-Teststadium entlassen hat, müssen sich die Entwickler weiterhin mit der Beseitigung sicherheitsrelevanter Fehler herum schlagen. So haben sie nun zwei Sicherheitslücken gestopft, die es dem Adobe-Reader-Plugin ermöglichen aus PDF-Dokumenten heraus Javascript-URLs aufzurufen. In der neuen Chrome-Version, die über das integrierte Update erhältlich ist, haben sie außerdem einen Fehler im Javascript-Modul "V8" beseitigt.

Die Fehler im Plugin für Adobe Reader werden nicht beseitigt, das ist der Job von Adobe, sondern Chrome verhindert lediglich, dass sie ausgenutzt werden können. Mark Larson, Programm-Manager für Chrome, gibt im Blog " Chrome Releases " an, Adobe arbeite an einer Lösung. Offen bleibt allerdings, warum die beiden Schwachstellen, die laut Adobe Security Bulletin APSB07-01 bereits vor zwei Jahren gestopft wurden, heute noch den Google-Browser betreffen.

Die dritte Sicherheitslücke, die mit Chrome 1.0.154.46 beseitigt sein sollte, steckt in dem viel gerühmten Javascript-Modul "V8". Sie ermöglicht es einem Script in einer entsprechend präparierten Web-Seite Eigenschaften und Daten in einer andere Seite, etwa einem Frame, Domain-übergreifend auszulesen. Das verletzt die Grundsätze der so genannten "Same-Origin-Policy", die dem Schutz der Privatsphäre dient.

Während die Adobe-Schwachstellen mit einer mittleren Risikostufe bewertet sind, schätzt Google das Risiko der Javascript-Lücke immerhin als hoch ein. Sowohl der Software-Kanal für Endanwender als auch der Beta-Kanal enthalten die neue Version 1.0.154.46, die zudem Verbesserungen für Live Hotmail und Yahoo Webmail mitbringt. Im Dev-Channel wird hingegen bereits die Version 2.0.159.0 angeboten.

Download: Google Chrome

0 Kommentare zu diesem Artikel
89806