Zwei Schwachstellen
Sicherheits-Update für Google Chrome
Google hat erneut ein Sicherheits-Update für seinen Web-Browser Chrome bereit gestellt. In der neuen Version haben die Entwickler zwei Sicherheitslücken beseitigt, von eine als kritisch eingestuft ist.
Google hat die Version 1.0.154.64 seines Web-Browsers Chrome veröffentlicht. Google hatte Chrome erst vor knapp zwei Wochen aktualisiert, um eine Sicherheitslücke zuschließen. Die jetzt bereit gestellte Fassung beseitigt zwei weitere Schwachstellen, von denen die eine als kritisch eingestuft ist, die andere hat die Risikostufe "hoch". Außerdem haben die Chrome-Entwickler eine neue Version von Google Gears eingebaut.
Google Chrome bis Version 1.0.154.59 (vom 23. April) enthält eine als kritisch eingestufte Sicherheitslücke bei der Verarbeitung von Bilddateien. Zwei Puffer, deren Inhalt identisch sein sollte, werden nicht auf Konsistenz geprüft. Ein Angreifer könnte eine präparierte Bitmap-Datei mit falschen Angaben über deren Pixelzahl benutzen, um einen Pufferüberlauf zu provozieren, der Speicherstrukturen überschreibt. Dies könnte das Einschleusen und Ausführen beliebigen Codes ermöglichen.
Auch die zweite Schwachstelle hat, wie so oft, mit einem überlaufenden Datenpuffer zu tun. In diesem Fall ist ein Ganzzahlüberlauf (integer overflow) bei einer Multiplikation in Javascript, die die Größe eines Bilder ermitteln soll. Auch hier ist die Ausführung eingeschleusten Codes möglich. Allerdings ist der "stable"-Zweig von Chrome (Versionen 1.x) nicht anfällig, nur die Entwickler-Versionen ("develop") vor 2.0.172.18. Daher ist die Risikostufe nur mit "hoch" angegeben. Die Entwickler haben die Gelegenheit genutzt, um einige Prüfroutinen einzubauen, damit solche Fehler in Zukunft vermieden werden.
Neben der Beseitigung von Sicherheitslücken bringt die neue Chrome-Version auch eine aktualisierte Fassung (0.5.16.0) der Browser-Erweiterung Gears mit. Gears ist auch als Add-on für Firefox und Internet Explorer erhältlich und soll die Nutzung von Web-Anwendungen ermöglichen, die darauf aufbauen. Google Gears wird zum Beispiel von Google Reader und Google Docs genutzt.
Schließlich haben die Chrome-Entwickler auch noch einen neuen Hinweis bei Start des Browsers eingebaut, der es Anwendern erleichtern soll Chrome als Standard-Browser festzulegen. Wer das nicht möchte, kann mit einer Checkbox einstellen, dass er nicht wieder danach gefragt werden will.
Das Update auf Version 1.0.154.64 wird von Chrome automatisch herunter geladen und ohne Hinweis an den Anwender installiert, sobald der Browser neu gestartet wird. Wer Chrome tagelang laufen lässt, sollte den Browser einmal beenden und neu starten, damit das Update wirksam wird.
Das Update auf Version 1.0.154.64 wird von Chrome automatisch herunter geladen und ohne Hinweis an den Anwender installiert, sobald der Browser neu gestartet wird. Wer Chrome tagelang laufen lässt, sollte den Browser einmal beenden und neu starten, damit das Update wirksam wird.
