Sicherheits-Update für Google Chrome

Die Versionsnummer der offiziellen Windows-Version ("stable") von Googles Web-Browser Chrome ist erstmals an der der Beta-Version vorbei gezogen. Während die Beta-Version noch bei 4.0.249.78 verharrt, hat Google die stabile Version 4.0.249.89 veröffentlicht, um eine Reihe von Sicherheitslücken zu schließen.

Drei der beseitigten Schwachstellen bergen Risiken, die Google als "hoch" einstuft. Darunter sind Pufferüberläufe im Javascript-Modul V8 sowie in der Chrome-Sandbox. Solche Fehler eignen sich oft zum Einschleusen und Ausführen von potenziell schädlichem Code. Ein weiterer Fehler steckt in der Verarbeitung des mit HTML 5 eingeführten ruby-Tags für die Scriptsprache Ruby.

Je zwei weitere Schwachstellen sind mit den Risikostufen "mittel" und "niedrig" gekennzeichnet. Die einzige der sieben Lücken, über die bislang Details veröffentlicht sind, ist die mit der Nummer 32309. Sie soll auch Apple Safari betreffen.

Hierbei geht es um einen Fehler bei der automatischen Umleitung von HTTP-Anfragen, der ganz ähnlich bereits in Firefox entdeckt und beseitigt wurde. Ein Angreifer könnte eine etwa in URL-Parametern übergebene Session-ID ausspähen und in Kombination mit anderen Schwachstellen für einen Angriff missbrauchen.

Die Details zu den beseitigten Sicherheitslücken hält Google stets noch einige Tage zurück, bis die Mehrzahl der Chrome-Nutzer die neue Version über das automatische Update erhalten hat.

Erstmals hat Google auch die seit 1. Februar ausgelobte Prämie für die Entdeckung einer Sicherheitslücke vergeben. Timothy Morgan von Virtual Security Research erhält sie für die Meldung eines Fehlers in der HTTP-Authentifizierung. Die zuerkannten 500 US-Dollar hat Google auf 1337 Dollar erhöht, nachdem Morgen erklärt hat, er wolle das Geld für die Erdbebenopfer in Haiti spenden.