Neben Mozilla hat auch Google gestern seinen Browser aktualisiert. Chrome 72 bringt vor allem Neuerungen in den Bereichen Web-APIs und Protokolle. Unter anderem haben die Entwickler den Support für das HTTP-basierte Public Key Pinning (HPKP) entfernt. Google schließt aber auch 58 zum Teil schwerwiegende Sicherheitslöcher.
Die Änderung dürfte indes nur wenige Websites betreffen. Da HPKP nur mit viel Aufwand zu implementieren war, geht man davon aus, dass die Technik nur von sehr wenigen Seiten eingesetzt wurde und wird.
Darüber hinaus stuft Chrome nun die Standards Transport Layer Security 1.0 und 1.1 als veraltet ein. Der Browser zeigt Websites, die für die HTTP-Verschlüsselung (HTTPS) weiterhin TLS 1.0 oder 1.1, zwar weiterhin an, meldet aber zudem einen Fehler in der Developer-Konsole. Die Unterstützung für TLS 1.0 und 1.1 soll erst mit Chrome 81 wegfallen. Diese Version des Browsers wird Anfang 2020 erwartet.
TLS 1.0 und 1.1 wurden 1999 beziehungsweise 2006 eingeführt. TLS 1.0 gilt zudem als unsicher und entspricht bereits seit Juni 2018 nicht mehr dem Payment Card Industry Data Security Standard. Mit TLS 1.2 und 1.3 werden zudem inzwischen zwei Nachfolger unterstützt. Neben Google wollen auch Apple, Microsoft und Mozilla bis Anfang 2020 den Support für TLS 1.0 und 1.1 einstellen.
Chrome 72 verweigert zudem das Rendering jeglicher Ressourcen einer Website, die über das FTP-Protokoll bereitgestellt werden. Stattdessen fordert der Browser seine Nutzer auf, die besagten Ressourcen herunterzuladen. FTP-Verzeichnisse zeigt Chrome 72 jedoch wie gewohnt an.
Von den insgesamt 58 Schwachstellen in den älteren Chrome-Version beschreibt Google in den Versionshinweisen 33 Anfälligkeiten. Darunter ist auch ein als kritisch eingestufter Fehler, der das Einschleusen von Schadcode erlaubt, der außerhalb der Sandbox ausgeführt werden kann. Der Nutzer Klzgrad, der den Bug im Dezember an Google gemeldet hat, erhält eine Prämie von 7500 Dollar.
Von weiteren 16 Sicherheitslöchern geht ein hohes Risiko aus. Sie stecken unter anderem in der JavaScript-Engine V8, dem PDF-Rendere PDFium, der Browser-Engine Blink sowie Protokollen wie WebRTC und HTML und der Graphics Engine Skia.
Den Entdeckern der Schwachstellen zahlt Google insgesamt eine Belohnung von 50.500 Dollar. Die Höhe der einzelnen Prämien richtet sich nach der Schwere der gefundene Anfälligkeiten.
Chrome 72 wird ab sofort über die Update-Funktion des Browsers verteilt. Zum Abschluss der Installation muss der Browser unter Umständen neu gestartet werden. Die neue Version steht wie immer für Windows, macOS und Linux zur Verfügung.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…