Version 2.0.172.43 verfügbar

Google Chrome: Update schließt drei Sicherheitslücken

Für Googles Browser Chrome ist ein Update verfügbar, die Version 2.0.172.43 steht jetzt zum Download parat. Dieses Update schließt drei Sicherheitslücken.

In den bisherigen Versionen des Web-Browsers Google Chrome stecken drei Sicherheitslücken, die Angreifer ausnutzen könnten, um Code einzuschleusen. Diese Schwachstellen hat Google mit dem jetzt verfügbaren Update auf die Chrome-Version 2.0.172.43 beseitigt. Die Aktualisierung des Browsers wird per "Silent Update" ohne Benutzereingriff automatisch herunter geladen und installiert.

Eine der beseitigten Schwachstellen betrifft das in Chrome verwendete, von Google entwickelte Javascript-Modul V8. Ein Angreifer könnte mit speziell präpariertem Javascript-Code in einer Web-Seite die Sicherheits-Checks von Chrome überlisten und beliebigen Code in der Sandbox von Chrome ausführen. Weitere Details zu dieser Lücke will Google erst veröffentlichen, wenn die Mehrzahl der Chrome-Benutzer das Update erhalten hat und geschützt ist. Als Entdecker der Schwachstelle nennt Google das Mozilla Security-Team.

Die beiden anderen Sicherheitslücken betreffen auch andere Programme, denn sie stecken in der XML-Programmbibliothek "libxml2", die Teil des Gnome-Projekts ist. Ein Angreifer könnte diverse Speicheranfälligkeiten ausnutzen, um Code innerhalb der Chrome-Sandbox auszuführen oder den betroffenen Browser-Tab zum Absturz zu bringen. Außerdem hat Google mit der neuen Chrome-Version eine Schutzmaßnahme gegen schwache SSL-Zertifikate eingebaut. Chrome verbindet sich nicht mehr per HTTPS (SSL-verschlüsselte Übertragung) mit Websites, deren Zertifikate unter Verwendung der Hash-Algorithmen MD2 und MD4 signiert sind. Diese werden als nicht mehr sicher genug angesehen. Sie könnten einem Angreifer ermöglichen einer Website den Anschein einer legitimen SSL-Website zu geben.

Mozilla hat diese SSL-Schwächen bereits in den neuesten Versionen von Firefox (3.5, 3.0.0.13) und Thunderbird (2.0.0.23) beseitigt, Seamonkey 1.1.18 lässt noch auf sich warten. Chrome-Nutzer, die ihren Rechner tagelang laufen lassen, sollten Chrome einmal beenden und neu starten, damit das Sicherheits-Update wirksam werden kann. Abgesehen davon wird es ohne Benutzereingriff installiert. (PC Welt/mje)