2210834

Google schließt 48 Browser-Lücken mit Chrome 52

21.07.2016 | 15:19 Uhr |

Google hat seinen Browser Chrome in der neuen Hauptversion 52 veröffentlicht. Darin haben die Entwickler 48 Sicherheitslücken der Vorversion beseitigt und etliche kleine Veränderungen an der Funktionalität vorgenommen.

Ende Mai hatte Google Chrome 51 freigegeben und nun ist Chrome 52 im so genannten stabilen Kanal (stable channel) für Jedermann kostenlos verfügbar. Die Entwickler haben etliche kleinere Änderungen am Funktionsumfang des Browsers vorgenommen, alte Zöpfe abgeschnitten und Neues hinzu gefügt. Kaum etwas davon wird der normale Benutzer je bemerken, für Web-Entwickler kann jedoch Interessantes dabei sein.

Ebenfalls kaum zu bemerken, aber dennoch wichtig ist, dass Google 48 Sicherheitslücken geschlossen hat. Viele Browser-Lücken werden durch unabhängige Sicherheitsforscher an Google gemeldet, diesmal sind es 17. Ungewöhnlich ist, dass die Höhe der Prämien, die Google dafür ausschüttet, in etlichen Fällen noch nicht feststeht. Der Chrome Release Blog weist den Betrag mit „$TBD“ (to be determined – wird noch festgelegt) aus. Das hat es auch früher schon gegeben, jedoch nicht in so vielen Fällen.

Den dicksten Brocken hat ein junger, unter dem Pseudonym „Pinkie Pie“ bekannter Sicherheitsforscher beigesteuert. Er hat einen Weg gefunden, wie man mit einem PPAPI-Plug-in aus der Sandbox ausbrechen kann. Dies könnte es einem Angreifer zum Beispiel ermöglichen mit einer zusätzlichen Flash-Lücke (und daran herrscht ja kein Mangel) schädlichen Code einzuschleusen und diesen auf Systemebene auszuführen. Der in Chrome integrierte Flash Player nutzt die Pepper Plug-in API (PPAPI), während in Firefox bislang noch die alte Netscape API (NPAPI) zum Einsatz kommt. Pinkie Pie hat bereits in der Vergangenheit mit recht spektakulären Chrome-Exploits reüssiert. Diesmal erhält er 15.000 US-Dollar für seine Mühe – ein vergleichsweise geringer Betrag.

Auch nicht so oft findet sich eine Spoofing-Lücke in Chrome, die sich (nur) unter iOS ausnutzen lässt. Sie ist durch einen Mitarbeiter des chinesischen Sicherheitsunternehmens Tencent gemeldet worden, der dafür 3000 Dollar bekommt. Die restlichen Schwachstellen bilden die übliche Mischung aus Pufferüberläufen, Use-after-free-Lücken und Umgehungsmöglichkeiten für Sicherheitsfilter (Same-origin Bypass, Content-Security-Policy Bypass).

Unter den Funktionsänderungen mag eine auch dem normalen Chrome-Benutzer auffallen: Chrome pausiert Animationen, während es eine modale Dialogbox anzeigt. Web-Entwickler sollten sich den Eintrag im Chromium Blog vom 10. Juni zur Beta-Version näher ansehen. Darin sind einige Funktionen aufgeführt, die Chrome nun nicht mehr unterstützt sowie neue Features, mit denen sie experimentieren können.

0 Kommentare zu diesem Artikel
2210834