Chrome Update
Google schließt weitere sechs Lücken in Chrome
Mit dem vierten Chrome-Update in knapp zwei Wochen beseitigt Google sechs Sicherheitslücken in seinem Web-Browser. Die Schwachstellen eignen sich ihrer Natur nach zum Einschleusen von Code.
Google hat die neue Chrome-Version 10.0.648.204 bereit gestellt, die der Browser automatisch herunter lädt und installiert. Seit dem Hacker-Wettbewerb Pwn2own vor zwei Wochen ist dies bereits das vierte Update für Chrome 10. Anders als im Chrome Release Blog angegeben, betrifft dieses Update nur den "stable"-Zweig – nicht die Beta-Tester, die bereits bei Chrome 11 angekommen sind.
In der neuen Version haben die Entwickler sechs Sicherheitslücken geschlossen, die alle mit der Risikostufe "High" gekennzeichnet sind. Es handelt sich um Pufferüberläufe und andere Speicherfehler, die es einem Angreifer ermöglichen könnten Code einzuschleusen. Ein Ausbruch aus der Chrome-Sandbox ist jedoch nicht möglich, dann würde Google die Schwachstelle als kritisch einstufen.
Google hat den Entdeckern dieser Schwachstellen Prämien zwischen 500 und 2000 US-Dollar zugesprochen, insgesamt 8500 Dollar. Der Löwenanteil von 7000 Dollar geht an Sergey Glazunov, der allein von seinen gefundenen Chrome-Lücken gut leben könnte. Mit den vier neuen Lücken kommt er auf insgesamt knapp 40.000 Dollar in einem Jahr und ist damit einsamer Spitzenreiter.
