Google schließt weitere elf Sicherheitslücken in Chrome 40

In mindestens drei Fällen geht von ihnen ein hohes Risiko aus. Die Fehler stecken unter anderem in der Komponente DOM und der Browserengine V8. Dieselben Löcher hat Google offenbar schon Anfang der Woche in Chrome für Android gestopft.

Google hat nur rund zwei Wochen nach der Veröffentlichung der Final von Chrome 40 ein weiteres Sicherheitsupdate für seinen Browser veröffentlicht. Die Version 40.0.2214.111 beseitigt insgesamt elf Anfälligkeiten. In mindestens drei Fällen stuft das Unternehmen das von ihnen ausgehende Risiko als hoch ein. Ein Angreifer könnte darüber Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.

(Bild: Google)

Details nennt Google nur zu drei Schwachstellen, die externe Sicherheitsforscher gemeldet haben. Demnach behebt die neue Version einen Use-after-free-Bug in DOM und verhindert einen Cross-Origin-Bypass in der Browserengine V8. Darüber hinaus ermöglicht ein Fehler in der Komponente Service Workers eine nicht autorisierte Ausweitung von Nutzerrechten. Zu den Prämien, die die Sicherheitsforscher erhalten, macht Google jedoch keine Angaben.

Google hat aber auch bei eigenen Tests mehrere Sicherheitslöcher gefunden und anschließend gestopft. Sie wurden unter anderem mithilfe der Tools AdressSanitizer und MemorySanitizer aufgespürt.

Das ebenfalls seit gestern erhältliche Update für das in Chrome integrierte Flash-Plug-in ist nicht Bestandteil der neuen Browserversion. Google hatte es schon vorab verteilt, ohne die Versionsnummer anzuheben.

Seit Dienstag ist zudem im Play Store eine neue Version von Chrome für Android erhältlich. Sie enthält ebenfalls Fixes für elf Anfälligkeiten, darunter die oben genannten Schwachstellen in DOM, V8 und Service Workers. Warum Google allerdings die Desktopversion seines Browsers erst zwei Tage nach der Mobilversion aktualisiert, ist nicht klar.

Nutzer, die Chrome schon installiert haben, erhalten die neue Version automatisch. Sie kann aber auch für Windows, Mac OS X und Linux von der Google-Website heruntergeladen werden.

Mit der Final von Chrome 40 hatte Google in der vorletzten Woche insgesamt 62 Sicherheitslücken geschlossen. Den Entdeckern der Bugs zahlte Google insgesamt 88.500 Dollar. 2014 erhielten Sicherheitsforscher, die Details zu Schwachstellen in unterschiedlichen Google-Produkte gemeldet haben, mehr als 1,5 Millionen Dollar.

Downloads:

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Chrome, Google, Secure-IT, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Google schließt weitere elf Sicherheitslücken in Chrome 40

Kommentar hinzufügen
  • Am 7. Februar 2015 um 0:19 von punisher

    Chrome ist wirklich Käse ;) Wieso hast du eigentlich zu den 33 Löchern im ios8 Käse nichts geschrieben?http://www.zdnet.de/88217295/apple-schliesst-33-sicherheitsluecken-ios-8/
    Ist ja nur IOS und kein doofer Browser, den man mal eben so ersetzen kann ;)

    • Am 7. Februar 2015 um 9:43 von Deswegen

      Weil die nicht im Wochentakt 33 Lücken fixen … bei Chrome hast Du nächste Woche die nächste Meldung – und bei Google behaupten einige hier ja, die könnten programmieren.

      Und dabei kochen sie wohl doch nur mit Wasser. ;-)

      • Am 7. Februar 2015 um 12:02 von punisher

        Hab diese Behauptung noch nie hier gelesen. Alle kochen nur mit Wasser ;)

  • Am 6. Februar 2015 um 17:37 von Und

    … schon wieder 11 Lücken mehr, drei kritische. In einem Browser? Und dabei ist Google doch so eine gute Softwareschmiede?

    Geht es in dem Tempo weiter, werden Sie Adobe / Flash Player bis zum Sommer eingeholt haben. ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *