Mit dem vierten Chrome-Update in knapp zwei Wochen beseitigt Google sechs Sicherheitslücken in seinem Web-Browser. Die Schwachstellen eignen sich ihrer Natur nach zum Einschleusen von Code.
Google hat die neue Chrome-Version 10.0.648.204 bereit gestellt, die der Browser automatisch herunter lädt und installiert. Seit dem Hacker-Wettbewerb Pwn2own vor zwei Wochen ist dies bereits das vierte Update für Chrome 10. Anders als im Chrome Release Blog angegeben, betrifft dieses Update nur den "stable"-Zweig – nicht die Beta-Tester, die bereits bei Chrome 11 angekommen sind.
In der neuen Version haben die Entwickler sechs Sicherheitslücken geschlossen , die alle mit der Risikostufe "High" gekennzeichnet sind. Es handelt sich um Pufferüberläufe und andere Speicherfehler, die es einem Angreifer ermöglichen könnten Code einzuschleusen. Ein Ausbruch aus der Chrome-Sandbox ist jedoch nicht möglich, dann würde Google die Schwachstelle als kritisch einstufen.
Google hat den Entdeckern dieser Schwachstellen Prämien zwischen 500 und 2000 US-Dollar zugesprochen, insgesamt 8500 Dollar. Der Löwenanteil von 7000 Dollar geht an
Sergey Glazunov
, der allein von seinen gefundenen Chrome-Lücken gut leben könnte. Mit den vier neuen Lücken kommt er auf insgesamt knapp 40.000 Dollar in einem Jahr und ist damit einsamer Spitzenreiter.