Sicherheits-Updates für Opera und Chrome

Bereits in der letzten Woche hatte Google mit dem Update auf Chrome 48.0.2564.116 eine Schwachstelle im Browser behoben, die der Hersteller als kritisch einstuft. Opera, dessen Desktop-Browser seit Version 15 auf der quelloffenen Chrome-Variante Chromium basiert, hat inzwischen nachgezogen und ein Update auf Opera 35.0.2066.82 veröffentlicht. Es ist einer der leider seltenen Fälle, in denen die Opera-Entwickler über die mit einer neuen Opera-Version beseitigten Lücken berichten , die in der Chromium-Basis gestopft worden sind. Die unter der Kennung CVE-2016-1629 bekannt gewordene Schwachstelle in Chromium ist durch einen externen Sicherheitsforscher entdeckt und an Google gemeldet worden. Google hat ihm dafür eine Prämie in Höhe von 25.633,70 US-Dollar zuerkannt. Die Lücke ermöglicht es einem Angreifer die so genannte Same Origin Policy im HTML-Renderer Blink (dem Kernstück des Browsers) zu umgehen. Das heißt er kann Code einschleusen, der aus einer anderen Quelle stammt als der Code, in dessen Kontext er geladen wird. Zudem kann der Code des Angreifers aus der in Chrome integrierten Sandbox ausbrechen. Das bedeutet, er kann auf das darunter liegende System (etwa Windows) zugreifen. Genau das soll die Sandbox an sich verhindern. Für Opera gilt beides entsprechend. Öffentlich verfügbaren Exploit-Code für diese Lücke gibt es nicht, Angriffe auf diese Schwachstelle sind nicht bekannt. Beide Browser installieren die jeweils neueste Version über die integrierte automatische Update-Funktion. Sie können das Update auch manuell anstoßen. Bei Chrome wählen Sie dazu im Menü Hilfe » Über Google Chrome oder Sie geben die URL chrome://help ein. Bei Opera lautet die URL opera://about oder Sie wählen im Menü Über Opera aus. Beide Browser suchen dann selbsttätig nach Updates.