Sicherheits-Update

Google Chrome 18.0.1025.168 bessert kritische Lücken aus

Ab sofort gibt es eine neue Version von Google Chrome. Diese Wartungs-Ausgabe bringt keine Neuerungen mit sich. Allerdings haben die Entwicller insgesamt fünf Sicherheitslücken ausgebessert.

Fünf der ausgebesserten Sicherheitslücken in Google Chrome 18.0.1025.168 sind als hoch eingestuft. CVE-2011-3078 erlaubt ein Use after Free bei der Floats-Behandlung. Gefunden wurde diese Schwachstelle sowohl vom Google Chrome Security Team als auch von einem unabhängigen Bug-Jäger.

CVE-2012-1521 erlaubt ebenfalls ein Use after Free. Betroffen ist der XML-Parser. Auch diese Lücke wurde vom internen Sicherheitsteam und einem Mitglied von team509 gefunden.

Das Auffinden der Sicherheitslücke CVE-2011-3081 ist ähnlich zu CVE-2011-3078. Der Entwickler miaubiz konnte sich hier mit 1000 US-Dollar Kopfgeld belohnen lassen. Das war in dieser Sicherheits-Ausgabe auch die einzige Belohnung, die Google ausgeschüttet hat.

Die beiden anderen Schwachstellen sind als mittelschwer eingestuft. CVE-2011-3079 ist ein Validierungs-Fehler im Zusammenhang mit IPC und CVE-2011-3080 eine Race Condition innerhalb der Sandbox IPC. Alle Anwender sollten zeitnah aktualisieren. Die neueste Version des Google Browsers gibt es wie immer für Windows, Mac OS X und Linux. Sie können eine Kopie auf der Chrome-Seite herunterladen.

In Chrome 18 wurden weniger Änderungen als bei den Vorgängerversionen vorgenommen. Sichtbar war zum Beispiel die komplett neu gestaltete Einstellungs-Seite. Diese hat es allerdings nicht in die finale Version geschafft und muss via "Enable Uber page" aktiviert werden. Ebenso neu ist, dass das Google-Profilbild beim Öffnen eines neuen Tabs in der oberen rechten Ecke angezeigt wird. Ein Experiment, das mit Chrome 15 gestartet wurde, haben die Entwickler eingestellt. Hier ging es darum, die Bookmarks in einem neu geöffneten Tab anzuzeigen. Das entsprechende Flag wurde aus der internen Experimental-Seite entfernt.

chrome://flags/ hingegen listet alle verfügbaren Experimente für alle Betriebssysteme auf. Ein Hinweis verrät, ob sie sich aktivieren lassen oder nicht. "MediaStream aktivieren" würde zum Beispiel die Unterstützung für WebRTC (Echtzeitkommunikation für Web) aktivieren. Mittels "GPU-Compositing auf allen Seiten" verwendet der Browser diese Funktion nicht nur auf den Seiten, die GPU Accelerated Layers enthalten.

Mit "Druckvorschau deaktivieren" wird die Druckvorschau nicht mehr im Tab angezeigt. Stattdessen verwendet Chrome das Druckdialogfeld des Systems. Diese Funktion ist für Windows, Mac OS X und Linux verfügbar. Sie können auch bereits das <track>-Element aktivieren. Dies ist allerdings noch nicht voll funktionsfähig. Es wird für Bildunterschriften, Untertitel, Kapitel und Audiobeschreibung in Videoelementen Verwendung finden.

In diesen experimentellen Funktionen zu stöbern ist sehr interessant. Google warnt aber ausdrücklich davor, dass es sich hier um instabile Software handelt. Wer also damit spielen möchte, sollte sich bei diversen Abstürzen nicht wundern. (mec)