08.09.2008, 13:45

Markus Pilzweger

Sicherheit

Google schließt mehrere Lücken in Chrome

Bereits kurze Zeit nach Veröffentlichung von Google Chrome stießen Sicherheitsexperten auf mehrere Lücken im Browser, darunter auch kritische. Mittlerweile hat Google reagiert und einen Patch für Google Chrome veröffentlicht der mindestens zwei Lücken stopft.
Die vietnamesische Sicherheits-Firma Bach Koa Internetwork Security aus Hanoi meldet auf ihrer Website eine kritische Sicherheitslücke in Google Chrome. Google hat bereits regiert und einen Patch veröffentlicht, der das Problem behebt. Den Forschern aus Vietnam zufolge kann es zu einem Buffer Overflow kommen, sobald Anwender über Google Chrome eine Website speichern möchten, die mit einem übermäßig langem Title-Tag versehen worden ist. Angreifer könnten so die Kontrolle über das System erlangen und bösartigen Code ausführen. Das Problem besteht den Forschern zufolge unter Windows XP SP2 und der Chrome-Version 0.2.149.27. Das ist genau die Version des Browsers, die Google letzte Woche veröffentlichte.
Die neue Version von Google Chrome trägt die Nummer 0.2.149.29. Das Update behebt die von Bach Koa Internetwork Security beschriebene Lücke und darüber hinaus noch mindestens eine weitere, von Aviv Raff in der vergangenen Woche gefundene Schwachstelle: Diese war in der Verwendung einer veralteten Version der Browser-Engine Webkit begründet. Angreifer hätten sich dadurch eine Sicherheitslücke namens "Carpet Bombing" zunutze machen können. Mit Hilfe dieser Lücke kann Windows dazu gebracht werden, ein bösartiges JAR-Archiv herunter zu laden und auszuführen, ohne dass der Anwender darüber informiert wird.
Anwender, die Google Chrome trotz der datenschutzrechtlichen und auch der Sicherheits-Probleme nutzen, müssen nicht sonderlich aktiv werden, um den Browser auf dem aktuellen Stand zu halten. Google Chrome installiert standardmäßig neu verfügbare Updates automatisch. Über die Google-Chrome-Info lässt sich zudem leicht erkennen, welche Version gerade auf dem PC installiert ist, aktuell sollte es die 0.2.149.29 sein.
Diese automatische Update-Funktion ist allerdings durchaus kritisch zu sehen. Denn der Anwender wird überhaupt nicht mehr gefragt, geschweige denn darüber informiert, ob beziehungsweise dass eine neue Version von Google Chrome auf dem System installiert wird.

Dies kann bei massiven Sicherheitslücken, die im schlimmsten Fall bereits aktiv ausgenutzt werden, zwar durchaus dafür sorgen, dass alle Anwender schnellstmöglich geschützt werden, die Vergangenheit hat aber immer wieder gezeigt, dass Sicherheits-Updates nicht immer sauber programmiert sind und ihrerseits auf den Systemen der Anwender für Probleme gesorgt beziehungsweise neue Lücken aufgerissen haben.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
2191
Content Management by InterRed