1841372

Google schließt weitere Chrome-Lücken

17.10.2013 | 06:45 Uhr |

Google hat ein neues Update für seinen Web-Browser Chrome bereit gestellt. In Chrome 30.0.1599.101 haben die Entwickler fünf Sicherheitslücken geschlossen. Außerdem treiben sie die Pensionierung der alten Schnittstelle für Netscape-kompatible Plug-ins weiter voran.

Googles Web-Browser Chrome ist in der neuen Version 30.0.1599.101 für Windows , Mac, Linux und Chrome Frame erhältlich. Chrome Frame, ein Plug-in für den Internet Explorer, soll allerdings in einigen Monaten eingestellt werden. In der neuen Chrome-Version haben die Entwickler nach eigenen Angaben insgesamt fünf Schwachstellen behoben.

Drei dieser Lücken sind von externen Sicherheitsforschern gemeldet worden. Google schüttet dafür Bug-Prämien in einer Gesamthöhe von 5000 US-Dollar aus. Alle drei Schwachstellen sind so genannte "Use-after-free"-Lücken. Hierbei greift Programmcode auf Speicherbereiche zu, die bereits wieder freigegeben sind. Ein Angreifer, der eine solche Schwachstelle ausnutzt, kann Code einschleusen und ausführen, allerdings nicht aus der Chrome-Sandbox ausbrechen, um auf das System zuzugreifen.

Details zu den beseitigten Sicherheitslücken hält Google noch zurück, da auch andere Programme betroffen sein könnten, für es noch kein Update gibt. Da können etwa durch Dritte erstellte Programmbibliotheken sein, die in diversen Software-Projekten zum Einsatz kommen. Eine weitere Möglichkeit sind andere Browser, die wie Apple Safari auf Webkit basieren oder wie Opera ab Version 15, das auf der quelloffenen Chrome-Fassung Chromium aufbaut.

Die Google-Entwickler wollen im Laufe des kommenden Jahres die Unterstützung für die NPAPI-Schnittstelle auslaufen lassen. Der Software-Entwickler Sergey Ulanov schreibt im Chromium-Blog , dass solche Plug-ins sukzessive durch neue ersetzt werden sollten, die modernere Schnittstellen nutzen. So kann etwa eine lokal installierte Desktop-Anwendung mit dem Browser über die Native Messaging API kommunizieren, die seit Chrome 29 bereit steht. Das könnte zum Beispiel ein Passwort-Manager sein, der sich über eine Chrome-Erweiterung mit dem Browser abgleichen soll.

0 Kommentare zu diesem Artikel
1841372