2463835

Google schließt 37 Sicherheitslücken in Chrome

23.10.2019 | 09:03 Uhr | Frank Ziemann

Das Update auf Chrome 78 beseitigt 37 Schwachstellen in Googles Browser. Drei dieser Sicherheitslücken stufen die Entwickler als hohes Risiko ein.

Wenige Stunden nachdem Mozilla begonnen hat, Firefox 70 an die Benutzer auszuliefern, hat Google seine neue Browser-Version Chrome 78.0.3904.70 freigegeben. Darin haben die Entwickler wie immer einige Neuigkeiten für Web-Entwickler umgesetzt und alte Zöpfe abgeschnitten. Vor allem jedoch haben sie zahlreiche Sicherheitslücken der Vorversionen beseitigt.

Im Chrome Release Blog hat Srinivas Sista diejenigen 21 der insgesamt 37 Schwachstellen aufgeführt, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet wurden. Google schüttet im Gegenzug Bug-Prämien in einer Gesamthöhe von knapp 60.000 US-Dollar aus – fast doppelt so viele wie bei Chrome 77 . Google stuft drei der extern entdeckten Lücken als hohes Risiko ein.

Allein 35.000 Dollar Prämien entfallen auf zwei dieser Schwachstellen, die zudem derselbe Forscher entdeckt hat. Es handelt sich um eine Use-after-free-Lücke beim Umgang mit Mediendateien (CVE-2019-13699) sowie um einen Pufferüberlauf im HTML-Renderer Blink (CVE-2019-13700). Microsoft, dessen Browser Edge zukünftig auf Chromium basieren soll, hat ebenfalls zwei Meldungen über entdeckte Schwachstellen beigesteuert. Zu den übrigen, intern gefundenen Schwachstellen äußert sich Google wie immer nicht näher.

Für Web-Entwickler gibt es nun bessere Möglichkeiten, mit selbst definierten CSS-Eigenschaften zu arbeiten, etwa um diese zu animieren. Möglich macht dies eine neue Houdini API („CSS Properties and Values API Level 1“ oder „Houdini Props and Vals“). Damit wird ein Web-Standard umgesetzt – bei Firefox wird noch daran gearbeitet.

Noch in der Erprobung (als „Origin Trial“) ist eine Schnittstelle für direkte Zugriffe auf das Dateisystem (Native File System API). Damit sollen Web-Anwendungen möglich werden, die mit Dateien auf der lokalen Festplatte arbeiten, etwa eine Bildbearbeitung oder ein Texteditor. Den XSS Auditor hat Google hingegen aus Chrome entfernt, da er Website-übergreifende Datenlecks verursachen kann.

Auch Chrome 78 für Android (78.0.3904.62) ist bereits erschienen und wird in den nächsten Tagen als Update auf die Android-Geräte verteilt.

PC-WELT Marktplatz

2463835