Chrome 56 schließt 51 Sicherheitslücken

Wie Firefox 51 stuft Chrome nun ebenfalls unverschlüsselte Log-in-Seiten als unsicher ein. Neu ist auch der Support für das Bluetooth Web API. Den Entdeckern von 15 der 51 Schwachstellen zahlt Google Prämien in Höhe von 54.337 Dollar.

Google hat die finale Version von Chrome 56 zum Download freigegeben. Der Google-Browser warnt ab sofort, ähnlich wie auch Firefox 51, vor Log-in-Seiten, die eine unverschlüsselte HTTP-Verbindung nutzen. Darüber hinaus haben die Entwickler 51 Sicherheitslücken geschlossen.

Chrome (Bild: Google)Die Warnung „Nicht sicher“, die links neben der URL in der Adressleiste angezeigt wird, erscheint bei allen Websites, die auf eine verschlüsselte Verbindung per HTTPS verzichten und vertrauliche Daten wie Nutzernamen, Passwörter oder auch Kredit- und Kontodaten abfragen. Google zufolge ist die Warnung ein Teil der langfristigen Strategie, alle HTTP-Websites als unsicher einzustufen.

Neu ist auch die Unterstützung des Web Bluetooth API. Websites können Google zufolge nun per GATT-Protokoll mit Bluetooth-Low-Energy-Geräten wie Druckern und LED-Displays interagieren. Dafür würden nur wenige Zeilen JavaScript-Code benötigt. Beispielcode und Demos hält Google auf GitHub bereit.

Entwickler profitieren aber auch von der neuen CSS-Funktion „position: sticky“, mit der sich Elemente wie Überschriften beim Scrollen fest am oberen Bildrand positionieren lassen. Darüber hinaus aktiviert Chrome 56 auch das WebGL 2.0 API ab Werk auf allen Desktop-Plattformen. Weitere Änderungen betreffen das Notifications API und das PaymentRequest API. Alle für Entwickler relevanten Neuerungen finden sich in einem Blogeintrag.

Von mindestens sieben der insgesamt 51 Schwachstellen in Chrome 55 und früher geht ein hohes Risiko aus. Ein Angreifer kann unter Umständen Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen. Das trifft auf vier Cross-Site-Scripting-Lücken in der Browserengine Blink, einen Heap-Überlauf in der JavaScript-Engine V8 sowie Bugs in WebRTC und den DevTools zu.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Darüber hinaus sind die Komponenten Skia, Renderer, WebM, Extensions und FFmpeg angreifbar. Die Omnibox ist anfällig für Address-Spoofing. Es ist aber auch möglich, die Sicherheitsrichtlinie für Browserinhalte zu umgehen.

Für die Details zu 15 der 51 Sicherheitslöcher zahlte Google Prämien in Höhe von 54.337 Dollar. Der Sicherheitsforscher Mariusz Mlynski sicherte sich 32.337 Dollar für die vier XSS-Bugs in Blink. Der Heap-Überlauf in V8 brachte Gergely Nagy 5500 Dollar ein. Die Höhe der Belohnung richtet sich nach der Schwere der gefundenen Anfälligkeit.

Chrome 56.0.2924.76 steht ab sofort für Windows, Mac OS X und Linux zur Verfügung. Nutzer, die den Browser bereits installiert haben, erhalten das Update automatisch. Zum Abschluss der Aktualisierung ist jedoch ein Neustart des Browsers erforderlich.

WEBINAR

What´s next – Storage & Co: Die Enterprise Cloud!

Lernen Sie in diesem Audio-Webinar die Bausteine einer Enterprise Cloud Plattform kennen. Erfahren Sie, wie Sie maximale Freiheit und Flexibilität für Ihre Anwendungen erzielen. Mehr Outcome mit weniger Input erzielen – konkrete Anwendungsbeispiele.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Themenseiten: Browser, Chrome, Google, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Chrome 56 schließt 51 Sicherheitslücken

Kommentar hinzufügen
  • Am 26. Januar 2017 um 17:59 von Carsten M.

    Auch Chrome Version 56 sendet den gesamten Browser-Verlauf an Google.

    Die Welt braucht Google nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *