Google schließt 62 Sicherheitslücken in Chrome

In mindestens 17 Fällen geht von ihnen ein hohes Risiko aus. Ein Angreifer könnte Schadcode einschleusen und in der Sandbox des Browsers ausführen. Den Entdeckern der Schwachstellen zahlt Google eine Belohnung von insgesamt 88.500 Dollar.

Google hat seinen Browser Chrome auf die Version 40.0.2214.91 aktualisiert. Das Update steht für Windows, Mac OS X und Linux zur Verfügung. Es schließt insgesamt 62 Sicherheitslücken, von denen laut Google in mindestens 17 Fällen ein hohes Risiko ausgeht. Ein Angreifer könnte darüber Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.

(Bild: Google)

Details nennt Google nur zu 26 Anfälligkeiten. Informationen zu den restlichen Fehlern hält der Internetkonzern zurück, da sie möglicherweise Produkte von Drittanbietern betreffen, für die noch kein Patch zur Verfügung steht. Google will damit aber auch Chrome-Nutzer schützen, die nicht sofort auf die aktuellste Browser-Version umsteigen.

Unter anderem haben die Entwickler zehn Use-after-free-Bugs beseitigt, die in Komponenten wie IndexedDB, WebAudio, DOM, Speech, View und FFmpeg stecken. Zudem wurden fünf Speicherfehler korrigiert, die die Browserengine V8 sowie die Komponenten ICU und Fonts betreffen. Auch der in Chrome integrierte PDF-Reader wurde den Versionshinweisen zufolge verbessert.

Den Entdeckern der Schwachstellen zahlt Google eine Belohnung von insgesamt 88.500 Dollar. 12.000 Dollar erhält ein Nutzer namens „Cloudfuzzer“, 9000 Dollar gehen an „Yangdingning“, 7000 Dollar an Christian Holler und 6500 Dollar an Atte Kettunen von der Universität Oulu in Finnland. Darüber hinaus bedankt sich Google mit 35.000 Dollar bei Kettunen, Holler, Khalil Zhani und Cloudfuzzer, die Google bei der Entwicklung von Chrome 40 unterstützt und damit verhindert haben, dass sicherheitsrelevante Fehler den Stable Channel erreichen.

Für Chrome 40 hat Google nach eigenen Angaben aber auch unter Windows und Linux die Info-Dialoge überarbeitet. Das Release enthält aber auch allgemeine, nicht näher genannte Verbesserungen.

Darüber hinaus hat Google das integrierte Flash-Player-Plug-in auf die Version 16.0.0.287 aktualisiert. Es stopft ein von Adobe als kritisch eingestuftes Loch, das bereits von Hackern aktiv ausgenutzt wird. Für eine weitere Zero-Day-Lücke im Flash Player, die der französische Sicherheitsforscher Kafeine in seinem Blog beschreibt, will Adobe in der kommenden Woche eine Update bereitstellen.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Chrome, Google, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Google schließt 62 Sicherheitslücken in Chrome

Kommentar hinzufügen
  • Am 23. Januar 2015 um 14:52 von Oh, oh

    Gleich 62 Lücken, davon 17 mit hohem Risiko ? In einem schäbigen Browser? Bei Google?

    Ist das dasselbe Google, das Mitbewerbern ans Bei pinkelt, weil diese in einigen Fällen >90 Tage für ein Fix brauchten?

    Dasselbe Google, das 1 Mrd Abdroiden zum verschrotten freigibt, weil sie einen kritischen Bug nicht fixen wollen?

    Die trauen sich ja was.

    Selber Frickelware verbreiten, mit mehr Löchern als Schweizer Käse, aber mit den Finger auf andere zeigen.

    ;-)

  • Am 24. Januar 2015 um 11:17 von Michael Dautzenberg

    Irgendwie verstehe ich das nicht ganz. Da heißt es: „Google hat seinen Browser Chrome auf die Version 40.0.2214.91 aktualisiert. Das Update steht für Windows, Mac OS X und Linux zur Verfügung. Es schließt insgesamt 62 Sicherheitslücken, von denen laut Google in mindestens 17 Fällen ein hohes Risiko ausgeht.“
    Geht denn nun von der neuen Version in 17 Fällen ein Risiko aus oder GING in der alten Version dieses Risiko in 17 Fällen aus??? Heutzutage wird es leider immer schlimmer mit der Verständlichkeit in DEUTSCH, aber die Lektoren hat man ja heutzutage auch eingespart!!

    • Am 25. Januar 2015 um 1:32 von So isses richtich

      Das Risiko mit den 62 Sicherheitslücken bezieht sich weiter auf die alte Version – da es für jeden, der das Update nicht einspielt/einspielen will ja nicht beseitigt wird.

      Wer das Update ausführt, kann alle 62 Lücken als erledigt ansehen, kein Risiko, Lücken wurden geschlossen.

      Was bleibt, ist der Eindruvk, dass der Chrome Browser schon ein sehr löchriges Stück Software ist, wenn allein in einem Update Durchgang 62 (!) Lücken gefixed werden – wie viele sind noch offen, und wie viele schlummern unerkannt vor sich hin?

      Da zetern einige über den Internet Explorer/Windows oder gar Apple – Win 7 hat insgesamt zwar um die 300 (mit mitunter gleich mehreren Fixes je Update) Updates, ist aber ein komplettes Betriebssystem – und nicht nur ein Browser.

      So viel zur ‚Softwareschmiede Google‘ … ;-)

  • Am 25. Januar 2015 um 2:20 von C

    Google hat seinerzeit, bei Einführung von Chrome, vom „schnellsten und sichersten“ Browser gesprochen.

    Schnell soll Chrome sein. Sicher? Nein.
    Und – von den EULA´s mit freier Daten-Nutzung von Google wollen wir lieber nicht sprechen…

    Alle kochen sie nur mit Wasser…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *