Google hat seinen Browser Chrome in der neuen Hauptversion 63 freigegeben. Darin haben die Entwickler 37 Sicherheitslücken gestopft, eine ist als kritisch eingestuft.

Mit der neuen Chrome-Version 63.0.3239.84 führt Google keine neuen Funktionen ein, die Benutzer wahrnehmen könnten. Unter der Motorhaube erwarten Web-Entwickler wieder etliche Änderungen, auch bei Chrome für Android. Im Vordergrund stehen jedoch die 37 beseitigten Sicherheitslücken.

Im Chrome Release Blog listet Krishna Govind diejenigen 19 Schwachstellen auf, die externe Sicherheitsforscher entdeckt und an Google gemeldet haben. Im Gegenzug schüttet das Unternehmen mehr als 46.000 US-Dollar an Bug-Prämien an die Forscher aus. Über die intern entdeckten Lücken hüllt sich Google wie üblich in Schweigen.



Unter den veröffentlichten Sicherheitslücken sticht eine als kritisch eingestufte Schwachstelle heraus. Sie betrifft die Implementierung des QUIC-Protokolls (Quick UDP Internet Connections) – ursprünglich eine experimentelle Entwicklung Googles, an deren Standardisierung nun die IETF (Internet Engineering Task Force) arbeitet. Mit QUIC soll der per TLS 1.3 verschlüsselte Datenverkehr zwischen Browser und Web-Server beschleunigt werden.



Der in Chrome integrierte PDF-Betrachter PDFium weist drei als hohes Risiko eingestufte Schwachstellen auf, die nunmehr beseitigt sind. Außerdem fallen mehrere Spoofing-Lücken auf, die in Chromes Omnibox genannter Adresszeile geschlossen wurden. In der Omnibox haben die Entwickler auch eine unzureichende Javascript-Filterung behoben.



Neuerungen in Chrome 63, die für Web-Entwickler interessant sein können, beschreibt Sathya Gunasekaran im Chromium-Blog .