Chrome 17 schließt 14 kritische Schwachstellen

Mit einem zweiten Sicherheits-Update schließt Google in Chrome 17 insgesamt 14 Schwachstellen, deren Risiko durgehend mit hoch bewertet sind.

Alle 14 Schwachstellen lassen sich laut Google dazu ausnutzen, um Schadcode einzuschleusen und innerhalb der Sandbox des Browsers auszuführen. Das Update auf Version 17.0.963.65 behebt den Versionshinweisen zufolge überwiegend Use-after-free-Bugs, die unter anderem in der JavaScript-Engine V8 stecken beziehungsweise beim Umgang mit SVG-Dateien und Tabellen auftreten.

Zudem wird ein Pufferüberlauf in der Grafik-Bibliothek Skia beseitigt. Die meisten Fehler wurden laut Google mit dem Tool AddressSanitizer aufgespürt.

Insgesamt zahlt Google den Entdeckern der Lücken eine Belohnung von 17.500 Dollar. 5000 Dollar davon gehen an Arthur Gerkis und 9500 Dollar an einen Nutzer namens “miaubiz”. Die Höhe der Prämie richtet sich nach der Schwere der gefundenen Sicherheitslücken.

Gerkis und miaubiz erhalten darüber hinaus von Google eine zusätzliche Prämie von je 10.000 Dollar. Diesen Betrag zahlt Google auch Aki Helin von der Universität Oulu in Finnland. Die drei Sicherheitsexperten leisteten nach Ansicht des Suchriesen in den vergangenen Monaten wiederholt “außergewöhnliche Beiträge”, wofür dieser “Überraschungsbonus” gedacht sei. “Chrome gilt als führend im Bereich Sicherheit und dies wäre ohne die aggressive Fehlersuche einer breiten Community nicht möglich”, schreibt Google-Mitarbeiter Jason Kersey in den Release Notes.

Das Update für Chrome 17 beinhaltet zudem eine neue Version von Adobes Flash Player. Unklar ist, welche Änderungen die Aktualisierung mit sich bringt. Google verweist dafür auf Adobe, das bisher aber noch keine Versionshinweise bereitgestellt hat.

Google korrigiert daneben auch mehrere nicht sicherheitsrelevante Fehler. So konnte es in der Vorgängerversion vorkommen, dass Cursor und Hintergründe nicht geladen werden oder auf einigen Website bestimmte Plug-ins nicht funktionieren.

[Mit Material von Stefan Baiersmann, ZDNet.de]