Google stopft 40 Sicherheitslöcher in Chrome 60

Von mindestens neun Bugs geht ein hohes Risiko aus. Sie erlauben das Einschleusen und Ausführen von Schadcode. Chrome 60 bringt aber auch neue Funktionen die das Payment Request API und das Web Budget API.

Google hat die Final von Chrome 60 zum Download freigegeben. Sie steht ab sofort im Stable Channel für Windows, Mac OS X und Linux zur Verfügung. Die Version 60.0.3112.78 bringt einige neue Funktionen. In erster Linie patcht Google jedoch 40 zum Teil sehr schwerwiegende Sicherheitslücken.

Chrome (Bild: Google)Den Versionshinweisen zufolge geht von mindestens neun Anfälligkeiten – Google nennt nur Details zu 21 Schwachstellen – ein hohes Risiko aus. Ein Angreifer kann unter Umständen Schadcode einschleusen und innerhalb der Sandbox ausführen. Das gilt unter anderem für Use-after-free-Bugs in IndexedDB, der JavaScript-Engine V8 und Googles Pepper Plug-in API (PPAPI).

Die Browserengine Blink wiederum ist anfällig für Spoofing. Zudem ermöglichen die Komponenten Skia und PDFium unter Umständen eine Remotecodeausführung. Auch die Komponenten OmniBox, Chrome Apps und SQLite erhalten Fixes.

Den Entdeckern der Schwachstellen zahlt Google Belohnungen in Höhe mehr als 26.000 Dollar. 10.000 Dollar gehen an den Nutzer Ned Williamson, der die Details zu einem Use-after-Free-Bug in IndexedDB geliefert hat. Ein Use-after-free-Bug in PPAPI brachte Yu Zhou und Yuan Deng vom Ant-financial Light-Year Security Lab 5000 Dollar ein.

Neu ist, dass die Desktop-Version des Google-Browsers das Payment Request API unterstützt. Es soll Online-Einkäufe vereinfachen, indem es im Browser hinterlegte Daten zur Verfügung stellt, die für den Bezahlvorgang benötigt werden. Neu ist auch das Web Budget API, das Daten im Hintergrund mit anderen Geräten synchronisiert, vor allem dort bereits abgearbeitete Benachrichtigungen. Voraussetzung ist, dass der Nutzer einer Website das Senden von Push-Benachrichtigungen erlaubt hat.

Eine weitere neue Funktion namens CSS Font-Display soll Entwicklern mehr Kontrolle über die Darstellung von Websites geben, die eigene Schriften benutzen. Sie können nun festlegen, wann welche Inhalte angezeigt werden, während im Hintergrund die benötigte Schriftart heruntergeladen wird. Zuvor zeigte Chrome alle Inhalte erst nach Abschluss des Downloads an.

Nutzer, die Chrome bereits installiert haben, erhalten die neue Version ab sofort automatisch über die Updatefunktion des Browsers. Für den Abschluss der Installation muss Chrome gegebenenfalls neu gestartet werden. Chrome 60 steht aber auch auf der Google-Website zum Download bereit.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Florian Bettges von HPE erläutert in diesem Webinar, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen. Jetzt registrieren und Webinaraufzeichnung ansehen.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Chrome, Google, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google stopft 40 Sicherheitslöcher in Chrome 60

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *