Google aktualisiert den Chrome mit der Version 46.0.2409.71. Das Update schließt insgesamt 24 Sicherheitslücken. Wenigstens vier dieser Lecks bedeuten laut Google ein hohes Risiko, da sie das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox des Browsers. Außerdem enthält der Browser die neuste Version von Adobe Flash Player, die allerdings eine Zero-Day-Lücke enthält.
In dem HTML-Renderer Blink beseitigt Google einen Fehler beseitigt, der das Umgehen der Cross-Origin-Richtlinie ermöglicht. Der Entdecker der Lücke, Mariusz Mlynski, erhält für das Aufspüren dieser Sicherheitslücke eine Belohnung von 8837 Dollar. 6337 Dollar zahlt Google an einen anonymen Sicherheitsforscher, der Details zu einem Use-after-free-Bug in PDFium gemeldet hat. Einen weiteren Use-after-free-Bug hat Google in ServiceWorker beseitigt. Die Details dazu lieferte Collin Payne, dessen Arbeit das Unternehmen mit 3500 Dollar entlohnt. Details zu einem weiteren Fehler in PDFium kamen von Atte Kettunen von der University of Oulu in Finnland. Seine Prämie beläuft sich auf 3000 Dollar.
Darüber hinaus waren in der Vorgängerversion die Komponenten LocalStorage, libAngle, FFMpeg und CSS Fonts fehlerhaft. Details nennt Google allerdings nur zu acht Schwachstellen, da einige der Fehler möglicherweise auch Software von Drittanbietern betreffen, die noch keinen Patch entwickelt haben.
Mit Chrome 46 ändert Google aber die Kennzeichnung von Websites, die sicheres HTTP (HTTPS) nutzen. Anwender erhalten nun keinen Hinweis mehr darauf, dass eine HTTPS-Verbindung “kleine Fehler” hat. Davon sind Google zufolge Seiten betroffen, die verschlüsselte und unverschlüsselte Inhalte haben. Sie behandelt Google nun wie Seiten mit einer unverschlüsselten Verbindung. Vollständig verschlüsselte Seiten markiert Google weiterhin mit einem grünen Schloss-Symbol, Seiten die beispielsweise ein abgelaufenes Zertifikat verwenden, mit einem roten Symbol.
“Wir haben festgestellt, dass unser gelbes ‘Warndreieck’ im Vergleich zum Symbol für HTTP-Seiten verwirrend sein kann, und wir glauben, dass es besser ist, den Unterschied in Bezug auf die Sicherheit zwischen diesen beiden Zuständen nicht zu betonen”, erläutern die Google-Mitarbeiter Lucas Garron und Chris Palmer in einem Blog. Nutzer könnten den Unterschied aber weiterhin daran erkennen, dass die URL einer unvollständig verschlüsselten Seite mit “https://” beginnt.
Chrome 46 steht ab sofort für Windows, Mac OS X, Linux und Chrome OS zur Verfügung. Nutzer, die den Browser bereits einsetzen, erhalten das Update automatisch. Google verteilt die neue Version aber auch über seine Website.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.