Chrome 53 stopft 33 Sicherheitslücken und schaltet Flash-Tracking ab

Die Entdecker der Lücken honorierte Google mit insgesamt 56.500 Dollar. Je 7500 Dollar wurden für drei schwerwiegende Schwachstellen ausgeschüttet. Sie ermöglichten Cross-Site-Scripting beziehungsweise Script-Injektionen in Erweiterungen für Chrome.

Google hat mit der automatischen Verteilung von Chrome 53 für Linux, Mac OS und Windows begonnen. Das Update beseitigt 33 Schwachstellen und verhindert wie angekündigt das Ausführen von Flash-Programmen im Hintergrund, die dem Tracking von Anwendern dienen.

Flash Player unerwünscht (Bild: ITespresso mit Material von Shutterstock und Adobe)Der Stopp von Hintergrund-Flash ist nur einer von mehreren Schritten, die Browserhersteller Google gegen die Adobe-Webtechnik angekündigt hat. Ein Flash-Player-Plug-in ist vorerst aber weiter in Chrome enthalten. Mit Chrome 55, das für Dezember angekündigt ist, soll die endgültige Umstellung auf die offene Alternative HTML5 erfolgen.

Laut Googles Ankündigung vom August sind rund 90 Prozent aller heutigen Flash-Elemente für den Endanwender nicht sichtbar. Sie haben für den Besucher der Website keinen Nutzen und sorgen lediglich dafür, dass die Seite langsamer lädt. Vor allem aber rufen sie die Flash-APIs enumerateFonts und ExternalInterface auf, um eine Liste aller auf dem Rechner installierten Schriftarten und so ein weiteres Merkmal zur Identifikation auch nicht eingeloggter Anwender zu erhalten – also für so genanntes Fingerprinting.

Mit Chrome 42 hatte Google im vergangenen Jahr schon das automatische Abspielen nicht zentraler Flash-Inhalte – also typischerweise von Werbeformaten am Rand – unterdrückt. Mozilla Firefox und Microsofts neuer Browser Edge in der Version des Anniversary Update gewähren dem Nutzer bereits vergleichbare Kontrolle über Flash-Inhalte. Bei Firefox und Chrome konnte man Plug-ins wie Flash, PDF, Java oder Silverlight bisher so einstellen, dass Inhalte damit erst nach Zustimmung abgespielt werden.

HIGHLIGHT

Von der APP-Economy zur API-Economy

Seit Smartphones den Markt erobert haben, gehören Apps zu unserem Alltag, und zwar in den verschiedensten Bereichen. Während sich Unternehmen derzeit mehr mit ihrer App-Strategie beschäftigen, beginnen innovativere Firmen damit, sich eine besser definierte Strategie zuzulegen, die sogenannte Apifizierungsstrategie des Geschäfts.

Chrome (Bild: Google)Die 33 in Chrome 53 steckenden Sicherheitspatches decken 13 Lücken von hohem Schweregrad ab, darunter zwei universelle Cross-Site-Scripting-Bugs in der Rendering-Engine Blink. Auch eine Möglichkeit, Scripts in Erweiterungen zu injizieren, wurde unterbunden. Die Hinweise auf diese drei Lücken honorierte Google jeweils mit 7500 Dollar.

Insgesamt zahlte Google im Rahmen seines Prämienprogramms bisher 56.500 Dollar für Lücken, die es in Chrome 53 stopft. Die Summe könnte allerdings noch steigen, da das Unternehmen demnächst den Wert von drei schwerwiegenden Fehlern im integrierten PDF-Reader PDFium bestimmen muss. Behoben wurden sie bereits.

Chrome 53.0.2785.89 steht ab sofort für Windows, Mac OS X und Linux zum Download bereit. Nutzer, die den Browser installiert haben, erhalten das Update automatisch. Zum Abschluss der Installation muss Chrome in der Regel neu gestartet werden. Das Update kann aber auch von der Google-Website geladen werden.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Neueste Kommentare 

Noch keine Kommentare zu Chrome 53 stopft 33 Sicherheitslücken und schaltet Flash-Tracking ab

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *