Google hat seinen Browser Chrome auf die Version 97 aktualisiert. Das Update beseitigt 37 Sicherheitslücken, von denen eine sogar als kritisch eingestuft ist. Ein Angreifer kann unter Umständen Schadcode einschleusen und außerhalb der Sandbox des Browsers ausführen.
Die kritische Anfälligkeit steckt in der Komponente Storage. Laut Google handelt es sich um einen Use-after-free-Bug. Entdeckt wurde die Schwachstelle von einem externen Sicherheitsforscher, der dafür eine Belohnung in nicht genannter Höhe erhält.
Weitere Bugs, von denen ein hohes Sicherheitsrisiko ausgeht, betreffen die Komponenten DevTools, Screen Capture, Sign-in, Media Streams API, Lesezeichen, der JavaScript-Engine V8 und PDF. Den Entdeckern von 24 Schwachstellen zahlt Google insgesamt eine Prämie von 54.000 Dollar – allerdings wurden bei mehr als der Hälfte der Schwachstellen die Höhe der Belohnung noch nicht festgelegt wurde.
Ghacks weist zudem auf eine “kontroverse” Neuerung der Version 97 hin. Sie erweitertet die Unterstützung für eine neue Programmierschnittstelle namens Keyboard MAP. Sie erlaubt es nun auch innerhalb von iFrames, das Tastaturlayout des Nutzers zu erkennen und Tastatureingaben korrekt zuzuordnen – wichtig beispielsweise für in iFrames ausgeführte Webanwendungen.
Browseranbieter wie Mozilla, Apple und Brave kritisieren dem Blogeintrag zufolge jedoch, dass die Programmierschnittstelle in bestimmten Fällen ein Fingerprinting von Nutzern erlaubt, also die Verfolgung von Browseraktivitäten ohne Kenntnis und Zustimmung eines Nutzers. Selbst die Web Incubator Community Group, die die Spezifikationen der API erstellt, warnt vor möglichem Fingerprinting. Betroffen seien “Benutzer, die ungewöhnliche ASCII-Layouts verwenden (wie Dvorak oder Colemak), Benutzer, die ein ASCII-Layout verwenden, das nicht dem Standard für die Region entspricht, in der sie sich befinden.”
Chrome 97 steht ab sofort für Windows, macOS und Linux zur Verfügung. Nutzer, die den Browser bereits installiert haben, erhalten das Update automatisch. Zum Abschluss der Installation ist unter Umständen ein Neustart erforderlich.
Die Abwehrstrategie geht vom bisherigen Threat-Hunting hin in Richtung Risk-Hunting“, sagt Zero-Trust-Experte Christoph Schuhwerk…
ifo-Institut: Mehr als ein Viertel der Unternehmen geht davon aus, dass KI in den kommenden…
„KI ist mehr als nur ein persönlicher Produktivitäts-Booster“, sagt Veit Brücker von Asana im Interview.…
Adesso schließt CRM-Implementierung in SAP S/4HANA-Landschaft im Greenfield-Ansatz innerhalb eines halben Jahres ab.
Weltweit werden bis 2028 voraussichtlich mehr als zwei Drittel aller Kundendienst- und Supportinteraktionen mit Technologieanbietern…
