Categories: BrowserWorkspace

Chrome 72 entfernt HPKP und erklärt TLS 1.0 und 1.1 für veraltet

Neben Mozilla hat auch Google gestern seinen Browser aktualisiert. Chrome 72 bringt vor allem Neuerungen in den Bereichen Web-APIs und Protokolle. Unter anderem haben die Entwickler den Support für das HTTP-basierte Public Key Pinning (HPKP) entfernt. Google schließt aber auch 58 zum Teil schwerwiegende Sicherheitslöcher.

HPKP dient eigentlich der Absicherung des HTTPS-Protokolls gegen Man-in-the-Middle-Angriffe. Der unter anderem von Google entwickelte Standard stellte sich im Lauf der Zeit jedoch als anfällig für Angriffe heraus, weswegen Google bereits im Oktober 2017 ankündigte, das Verfahren künftig nicht mehr zu unterstützen. Als Nachfolger gilt das auch als sicherer eingestufte Certificate Transparency.

Die Änderung dürfte indes nur wenige Websites betreffen. Da HPKP nur mit viel Aufwand zu implementieren war, geht man davon aus, dass die Technik nur von sehr wenigen Seiten eingesetzt wurde und wird.

Darüber hinaus stuft Chrome nun die Standards Transport Layer Security 1.0 und 1.1 als veraltet ein. Der Browser zeigt Websites, die für die HTTP-Verschlüsselung (HTTPS) weiterhin TLS 1.0 oder 1.1, zwar weiterhin an, meldet aber zudem einen Fehler in der Developer-Konsole. Die Unterstützung für TLS 1.0 und 1.1 soll erst mit Chrome 81 wegfallen. Diese Version des Browsers wird Anfang 2020 erwartet.

TLS 1.0 und 1.1 wurden 1999 beziehungsweise 2006 eingeführt. TLS 1.0 gilt zudem als unsicher und entspricht bereits seit Juni 2018 nicht mehr dem Payment Card Industry Data Security Standard. Mit TLS 1.2 und 1.3 werden zudem inzwischen zwei Nachfolger unterstützt. Neben Google wollen auch Apple, Microsoft und Mozilla bis Anfang 2020 den Support für TLS 1.0 und 1.1 einstellen.

Chrome 72 verweigert zudem das Rendering jeglicher Ressourcen einer Website, die über das FTP-Protokoll bereitgestellt werden. Stattdessen fordert der Browser seine Nutzer auf, die besagten Ressourcen herunterzuladen. FTP-Verzeichnisse zeigt Chrome 72 jedoch wie gewohnt an.

Von den insgesamt 58 Schwachstellen in den älteren Chrome-Version beschreibt Google in den Versionshinweisen 33 Anfälligkeiten. Darunter ist auch ein als kritisch eingestufter Fehler, der das Einschleusen von Schadcode erlaubt, der außerhalb der Sandbox ausgeführt werden kann. Der Nutzer Klzgrad, der den Bug im Dezember an Google gemeldet hat, erhält eine Prämie von 7500 Dollar.

Von weiteren 16 Sicherheitslöchern geht ein hohes Risiko aus. Sie stecken unter anderem in der JavaScript-Engine V8, dem PDF-Rendere PDFium, der Browser-Engine Blink sowie Protokollen wie WebRTC und HTML und der Graphics Engine Skia.

Den Entdeckern der Schwachstellen zahlt Google insgesamt eine Belohnung von 50.500 Dollar. Die Höhe der einzelnen Prämien richtet sich nach der Schwere der gefundene Anfälligkeiten.

Chrome 72 wird ab sofort über die Update-Funktion des Browsers verteilt. Zum Abschluss der Installation muss der Browser unter Umständen neu gestartet werden. Die neue Version steht wie immer für Windows, macOS und Linux zur Verfügung.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Neue Datenanalyse-Software für die Thüringer Polizei

Ob schnelles Bild zur Lage, kollaborative Ermittlung oder strategische Analysen auf Basis von polizeilichen Vorgängen:…

14 Stunden ago

US-Bundesstaat Arizona verklagt Google wegen Täuschung von Verbrauchern

Es geht um die Sammlung von Standortdaten. Der Generalstaatsanwalt von Arizona unterstellt eine fehlende Zustimmung…

15 Stunden ago

Poco F2 Pro: Xiaomi erhöht heimlich Preis um 100 Euro

Statt 499 Euro verlangt Xiaomi für das Poco F2 Pro nun 599,90 Euro. Das Unternehmen…

16 Stunden ago

Handelsstreit mit USA: Auslieferung von Huawei-CFO rückt näher

Der Supreme Court lehnt eine Einstellung des Auslieferungsverfahrens ab. Es sieht genug Anhaltspunkte für eine…

16 Stunden ago

Bug-Bounty-Plattform HackerOne gibt 100 Millionen Dollar für Sicherheitslücken aus

Für die ersten 20 Millionen Dollar benötigt das Unternehmen noch fünf Jahre. Danach kommen in…

18 Stunden ago

Forscher finden 26 USB-Bugs in Linux, Windows, macOS und FreeBSD

Sie entwickeln ein spezielles Fuzzing-Tool für USB-Treiber. Es emuliert ein USB-Gerät und erzeugt ungültige und…

20 Stunden ago