2508789

Chrome 83: Sicherheitslücken in Googles Browser

20.05.2020 | 09:28 Uhr | Frank Ziemann

Google hat die neue Browser-Version Chrome 83 veröffentlicht. Darin haben die Entwickler 38 Sicherheitslücken geschlossen. Auch Secure DNS ist nun mit an Bord.

Die neue Chrome-Version 83.0.4103.61 für Windows, macOS und Linux sowie 83.0.4103.60 für Android folgt auf Chrome 81 und beseitigt etliche Lücken im Browser. Auch ein paar Neuerungen haben Googles Entwickler mitgeliefert. Dazu zählt die zurückhaltende Einführung verschlüsselter DNS-Anfragen (DNS-over-HTTPS). Formularelemente sollen benutzerfreundlicher und klarer werden.

Im Chrome Release Blog führt Srinivas Sista 27 Schwachstellen auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Fünf dieser Lücken stuft Google als hohes Risiko ein. Insgesamt hat Google den Entdeckern der Schwachstellen bislang 76.000 US-Dollar an Prämien zuerkannt, einige Beträge sind noch unbestimmt.

Unter den fünf gravierenden Sicherheitslücken sind drei UAF-Lücken (Use-after-free), die den Lesemodus, den Umgang mit Medieninhalten sowie WebRTC betreffen. Sie allein machen weit mehr als die Hälfte der Prämiensumme aus. Das häufigste (nicht-triviale) Wort in der Liste der beseitigten Schwachstellen ist „insufficient“ (unzureichend). Es beschreibt in 16 Fällen die Leistungen der Entwickler bei der Umsetzung ihrer Aufgaben. So sind allein 12 der entdeckten Schwachstellen durch das unzureichende Durchsetzen einer oder mehrerer Richtlinien entstanden.

➤Die neuesten Sicherheits-Updates

Während die normale Kommunikation zwischen dem Browser und einer Website inzwischen oft verschlüsselt abläuft (HTTPS) und so vor neugierigen Dritten vergleichsweise sicher ist, gehen DNS-Anfragen bislang meist im Klartext durch das Netz. DNS-Anfragen entstehen, weil der Browser etwa die Website www.pcwelt.de nicht direkt mit diesem Namen ansprechen kann, sondern erst die IP-Adresse (etwas wie 123.45.67.89) bei einem DNS-Server erfragen muss.

Unverschlüsselte DNS-Anfragen verraten dem Lauscher zumindest, welche Websites jemand aufruft. Um die Privatsphäre der Internet-Nutzer besser zu schützen, wird seit geraumer Zeit über verschlüsselte DNS-Anfragen (und -Antworten) diskutiert und damit experimentiert. „DNS-over-HTTPS“ (DoH) soll das Problem lösen. In Chrome 83 setzt Google die Versuchsergebnisse mit DoH erst einmal vorsichtig um und nennt es „Secure DNS“. Damit Dienste wie Kinderschutzfilter, die auf DNS aufsetzen, weiter genutzt werden können, arbeitet Chrome mit Listen bekannter Provider, bei denen Google bereits weiß, dass DoH funktioniert. Ist in Windows der Jugendschutz aktiviert, schaltet Chrome Secure DNS vorsichtshalber ab.

Formularelemente sind ein wichtiger Teil interaktiver Websites. Ihre Gestaltung ist in den zurückliegenden Jahrzehnten wechselnden Moden gefolgt. Microsoft und Google haben nun gemeinsam an einem neuen Facelift gearbeitet, das schneller klarmachen soll, um was es geht. Das ist in Edge (Chromium-basiert) bereits umgesetzt und nun auch in Chrome 83. Urteilen Sie selbst, wie gut der neue Look gelungen ist:

Chrome 83 - alte und neue Formularelemente
Vergrößern Chrome 83 - alte und neue Formularelemente
© Google

Um die zahlreichen Sicherheitslücken zu schließen, werden die Anbieter der anderen Chromium-basierten Browser (Microsoft Edge, Opera, Vivaldi, Brave) in den nächsten Tagen nachziehen. Chrome 84 soll am 14. Juli erscheinen.


PC-WELT Marktplatz

2508789