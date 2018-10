Google hat seinen Browser Chrome in der aktualisierten Version 70 veröffentlicht. Darin haben die Entwickler 23 Sicherheitslücken beseitigt. Mit Chrome 70 verschärft Google die Regeln für Browser-Erweiterungen.

Mit der neuen Chrome-Version 70.0.3538.67 bringt Google Web Bluetooth auch für Windows 10. Web-Anwendungen können Benutzer über biometrische Merkmale authentifizieren. Anwender können Chrome-Erweiterungen vorgeben, auf welche Web-Server sie zugreifen dürfen. Nicht zuletzt haben die Entwickler wieder etliche Sicherheitslücken gestopft.



Im Chrome Release Blog führt Abdul Syed die 18 der insgesamt 23 beseitigten Schwachstellen auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet wurden. Insgesamt zahlt Google diesmal 22.000 US-Dollar an Bug-Prämien aus. Sechs Sicherheitslücken stuft Google als hohes Risiko ein. Sie betreffen etwa das Javascript-Modul V8, die Omnibox und den PDF-Viewer PDFium. Ein Fehler im AppCache kann Code sogar ermöglichen aus der Sandbox auszubrechen.



Seit fast zehn Jahren können Benutzer den Chrome-Browser durch Erweiterungen, so genannte Extensions, aufpimpen. Diese können mit den besuchten Websites interagieren, etwa automatisch Inhalte einfügen oder verändern und dergleichen mehr. Nicht immer sollen sie das uneingeschränkt oder ohne Rückfrage tun. Daher bietet Chrome 70 nun die Möglichkeit, den Zugriff einer Erweiterung auf bestimmte Websites zu begrenzen. Oder die Extension muss erst einen bestätigenden Klick anfordern, um loslegen zu dürfen.



Wer Erweiterungen für Chrome entwickelt, darf seinen Code nicht mehr verschleiern. Neue Erweiterungen müssen ab sofort unverschleiert eingereicht werden. Bestehende Extensions dürfen noch für 90 Tage Updates erhalten, werden ab Anfang Januar jedoch aus dem Chrome Store entfernt, wenn sie noch verschleierten ("obfuscated") Code enthalten.



Die Web Authentication API ermöglicht es Web-Anwendungen, die Identität des Benutzers mit biometrischen Daten zu überprüfen. Dazu zählen etwa TouchID für macOS oder der Fingerabdrucksensor bei Android-Geräten.



Web-Anwendungen können mit durch den Benutzer ausgewählten Geräten via Bluetooth kommunizieren. Das geht unter Android, ChromeOS und macOS schon seit Chrome 56, ab Chrome 70 auch unter Windows 10. Für Linux und ältere Windows-Versionen ist diese Möglichkeit noch deaktiviert. Sie kann jedoch über ein Chrome-Flag ( chrome://flags/#enable-experimental-web-platform-features ) eingeschaltet werden.



Die bereits mehrmals verschobene Autoplay-Blockade für Videoinhalte wird abermals vertagt, diesmal auf Chrome 71. Der umstrittene, mit Version 69 eingeführte automatische Login im Browser ist entschärft und kann abgeschaltet werden. Chrome 70 löscht nun auch wieder Google-Cookies, die Chrome 69 unangetastet lässt.