2288317

Google stopft 40 Lücken mit Chrome 60

26.07.2017 | 09:05 Uhr |

Die neue Chrome-Version 60 schließt 40 teils gravierende Sicherheitslücken der Vorgänger. Außerdem schneidet Google wieder ein paar alte Zöpfe zugunsten neuer ab.

Google hat seinen Web-Browser Chrome in der neuen Version 60.0.3112.78 bereit gestellt. Neben etlichen beseitigten Schwachstellen bringt Chrome 60 auch wieder viele kleine Änderungen für Web-Entwickler mit. Eine vergleichsweise bedeutende Veränderung steht mit dem Ende für Flash und Shockwave bevor – bis dahin ist jedoch noch ein wenig Zeit. 

Im Chrome Release Blog führt Richard Bustamante diejenigen Sicherheitslücken auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Das sind 21 der 40 gestopften Lücken. Nach bisherigem Stand schüttet Google dafür Bug-Prämien in einer Gesamthöhe von mindestens 26.000 US-Dollar an die Entdecker der Schwachstellen aus. In einigen Fällen ist die Prämienhöhe noch nicht festgelegt (TBD: to be determined), es können also noch ein paar tausend Dollar dazukommen.

Allein 10.000 Dollar erhält Ned Williamson für eine Use-after-free-Lücke in IndexedDB, 5000 Dollar gehen an Yu Zhou und Yuan Deng für eine ebensolche Schwachstelle in der Plugin-Schnittstelle PPAPI. Auffällig ist die relativ große Zahl gestopfter Spoofing-Lücken in dieser Chrome-Version. Weitere Details über die gestopften Lücken hält Google zurück und verweist wie immer darauf, dass es weitere Produkte anderer Hersteller gibt, die auf Chromium basieren und in denen diese Lücken noch bestehen. Über die intern gefundenen Schwachstellen erfährt man hingegen wie üblich nichts.

Adobe hat in dieser Woche das Sterbedatum für Flash verkündet: Ende 2020 ist Schluss. Danach will Adobe den Flash Player nicht mehr anbieten und auch keine Updates mehr liefern. Obwohl nicht ausdrücklich erwähnt, dürfte den Shockwave Player das gleiche Schicksal erwarten. Mit HTML5, WebGL und WebAssembly gibt es offene Standards, die mindestens das gleiche leisten und weniger Sicherheitsrisiken bergen als die alten Plugin-Schnittstellen. Chrome wird bis dahin auf einer weiter wachsenden Zahl Websites den integrierten Flash Player erst auf Nachfrage anwerfen. Ende 2020 wird er dann aus dem Browser entfernt. Dies alles geschieht in enger Abstimmung zwischen Adobe und den wichtigsten Browser-Herstellern (Apple, Google, Microsoft, Mozilla).

Während die Zahl der Websites, die noch Flash nutzen, bereits deutlich abgenommen hat, erfreuen sich die neuen Standards wachsender Beliebtheit bei Web-Entwicklern. Wer sich bereits nicht mehr mit der Migration von Flash zu HTML5 und Co. plagen muss, kann sich den kleineren Neuerungen in Chrome 60 widmen, die Shubhie Panicker im Chromium-Blog verkündet hat. Sie wirbt etwa für die neue Paint Timing API , die es Web-Entwicklern ermöglichen soll, die Ladezeiten umfangreicher Web-Seiten weiter zu optimieren.

0 Kommentare zu diesem Artikel
2288317