Google Chrome 50: Update schließt neun Sicherheitslücken
Ein Angreifer könnte die Schwachstellen im Chrome-Browser nutzen, um Schadcode einzuschleusen und innerhalb der Sandbox des Browsers auszuführen. Betroffen sind die Versionen für Windows, Mac OS X und Linux.
Mit dem Update auf Version 50.0.2661.94 hat Google weitere neun Sicherheitslücken in seinem Browser Chrome geschlossen. Ein hohes Risiko geht von mindestens vier Schwachstellen aus. Ein Angreifer kann sie unter Umständen nutzen, um Schadcode einzuschleusen und innerhalb der Sandbox des Browsers auszuführen. Die aktuelle Version steht ab sofort für Windows, Mac OS X und Linux zur Verfügung. Nutzer, die den Browser installiert haben, erhalten das Update automatisch. Es kann aber auch von der Google-Website geladen werden.
Google gibt zu diesen vier Schwachstellen sowie zu zwei weiteren als mittelschwer eingestuften Lücken weitere Details bekannt. Die Lücken befinden sich unter anderem in der Browser-Engine Blink und der JavaScript-Engine V8. Auch ein Use-after-Free-Bug in der Komponente Erweiterungen wurde beseitigt.
Den Versionshinweisen zufolge gab ein anderer Fehler in der JavaScript-Engine V8 persönliche Informationen preis. Die Adressleiste soll nun auch nicht mehr anfällig für Spoofing-Angriffe sein.
Google zahlt den Entdeckern der sechs öffentlich gemachten Sicherheitslücken Belohnungen in Höhe von insgesamt 14.000 Dollar. Atte Kettunen von der finnischen Universität Oulu, der Sicherheitsforscher Rob Wu sowie ein nicht genannter Nutzer erhalten jeweils 3000 Dollar. Wadih Matar bekommt von Google 4000 Dollar, weil er insgesamt zwei Fehler gemeldet hatte. Die Höhe der Prämie richtet sich nach der Schwere der gefundenen Anfälligkeit.
Die Final von Chrome 50, die erst seit rund zwei Wochen verfügbar ist, brachte bereits Patches für 20 Sicherheitslöcher, darunter eine weitere Spoofing-Lücke in der Adressleiste.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.