Nachgelegt

Chrome-Update schließt weitere Flash-Lücken (Update)

Dienstag den 10.04.2012 um 14:57 Uhr

von Frank Ziemann, Benjamin Schischka

Chrome-Lücken geflickt
Vergrößern Chrome-Lücken geflickt
Google hat ein weiteres Sicherheits-Update für seinen Web-Browser Chrome bereit gestellt. Darin enthalten ist ein neuer Flash Player, in dem zwei Chrome-spezifische Schwachstellen behoben sind. Außerdem haben die Entwickler 12 Sicherheitslücken im Browser geschlossen.
Mit dem Update auf die neue Chrome-Version 18.0.1025.151 liefert Google auch einen neuen Flash Player aus. Dieser trägt die Versionsnummer 11.2.102.229 und unterscheidet sich von der Version 11.2.102.228 für andere Browser durch zwei beseitigte Sicherheitslücken, die nur Chrome betreffen. Adobe hat sein Security Bulletin APSB12-07 vom 28. März am 5. April überarbeitet, um diese Neuigkeit einzupflegen.

Demnach stecken in den vorherigen Chrome-Versionen zwei Speicheranfälligkeiten im integrierten Flash Player, die dessen Schnittstelle zum Google-Browser betreffen. Wer die letztjährige Kontroverse zwischen Google und dem französischen Sicherheitslückenhändler VUPEN um eine Schwachstelle in Chrome noch in Erinnerung hat, könnte auf die Idee kommen, es handele sich um ebendiese Lücke. Der Streit ging um die Frage, ob die Schwachstelle im eigentlichen Chrome-Code oder im Flash Player steckt. Klarheit darüber gibt es bis heute nicht, auch weil Google Details zu frisch gestopften Lücken erstmal unter Verschluss hält.

Die Chrome-Entwickler haben in der neuen Browser-Version noch 12 weitere Sicherheitslücken beseitigt, von denen sieben ein hohes Risikopotenzial aufweisen. Fast alle diese Schwachstellen, darunter die besagten sieben, sind so genannte Use-after-free-Lücken. Dieser Fehlertyp, der eine Nachnutzung bereits frei gegebener Speicherbereiche durch eingeschleusten Code erlaubt, hat inzwischen Pufferüberläufe als beliebtestes Angriffsziel abgelöst.

Außerdem haben die Chrome-Entwickler einige Bugs ausgemerzt, unter denen zwar ein paar sind, die den Browser zum Absturz bringen können, die jedoch nicht als Sicherheitsrisiko gelten. Das Update auf die neue Version lädt Chrome automatisch im Hintergrund herunter und installiert es beim nächsten Neustart des Programms.

Update: Die Chrome-Entwickler legen nach und patchen auf Version 18.0.152 . Das Update behebt eine Fehlermeldung bei HTTPS-Zertifikaten. Leider könne das Upadte zu einem schwarzen Bildschirm führen, berichten die Entwickler und fügen hinzu: wir arbeiten gerade an dem Problem. Es tritt bislang auf Systemen mit hybrider Grafikbeschleunigung auf.

Dienstag den 10.04.2012 um 14:57 Uhr

von Frank Ziemann, Benjamin Schischka

Kommentieren Kommentare zu diesem Artikel (0)
1427538