Klingelnde Kassen
Google gibt in einer Woche über 100.000 US-Dollar an Sicherheits-Kopfgeld aus
Am 5. März 2012 gab es das Sicherheits-Update Google Chrome 17.0.963.65 für Windows, Mac OS X und Linux. Jeweils insgesamt 47.500 US-Dollar hatte Google für gemeldete Schwachstellen und ausgiebiges Testen gezahlt. Mit je 10.000 US-Dollar wurden miaubitz, Aki Helin von OUSPG und Arthur Gerkis für herausragende Verdienste in Sachen Chrome-Sicherheit entlohnt. Diese Experten konnten noch mehr Belohnungen im selben Update einstreichen. Insgesamt 17 weitere Problemzonen hat Google mit 17.500 US-Dollar belohnt. Bis auf eine Schwachstelle sind alle als hoch eingestuft.
Gleichzeitig haben die Entwickler einige Unannehmlichkeiten behoben. Anwender haben berichtet, dass Cursor und Hintergründe unter bestimmten Umständen nicht geladen wurden. Auf manchen Seiten haben Pulgins ihren Dienst verweigert. Beim kopieren und einfügen von Text waren ab und an führende Leerzeichen vorhanden und Webseiten mit Touch-Kontrollen verweigerten ihren Dienst.
Des Weiteren haben die Entwickler der eingebetteten Flash-Version ein Update spendiert. Neue Funktionen sind keine enthalten. Allerdings wurden in Adobe Flash Player 11.1.102.63 die Sicherheitslücken CVE-2012-0768 und CVE-2012-0769 behoben.
Im Zuge der Sicherheitskonferenz CanSecWest in Vancouver, Kanada hat Google parallel zu Pwn2Own eine die Veranstaltung Pwnium! abgehalten. Der Universitäts-Student und bekannter Chrome-Hacker Sergey Glazunov konnte dort aus der Chromes Sandbox ausbrechen. Er benutzte dafür eine bisher unbekannte Sicherheitslücke. Der Hack brachte ihm das stolze Preisgeld von 60.000 US-Dollar ein.
- Chrome 17.0.963.56
Testkandidat: Chrome - Chrome 17.0.963.56
SunSpider JavaScript-Benchmark: Ganz ungewohnt auf dem letzten Platz. - Firefox 10.0.2
SunSpider JavaScript-Benchmark: Goldmedaille für den Mozilla-Browser - Opera 11.61
SunSpider JavaScript-Benchmark: Silber - Chrome 17.0.963.56
Peacekeeper: Gewinner und einziger mit HTML5-Fähigkeit 7/7 - Firefox 10.0.2
Peacekeeper: Firefox muss sich hinten anstellen. HTML5-Fähigkeit - 5/7 - Opera 11.61
Peacekeeper: Vor Firefox, aber hinter Chrome. HTML5-Fähigkeit - 5/7 - Chrome 17.0.963.56
Kraken: Hier kann sich Chrome den ersten Platz schnappen. - Firefox 10.0.2
Kraken: Ganz ordentlich, aber hinter Chrome. - Opera 11.61
Kraken: Bronze und einziger Browser, der mehr als 10.000 Millisekunden benötigt. - Chrome 17.0.963.56
Googles V8: Chrome sticht die Konkurrenz aus. - Firefox 10.0.2
Googles V8: Besser als Opera, aber hinter Chrome. - Opera 11.61
Googles V8: Keine Chance gegen Chrome - Firefox 10.0.2
Testkandidat: Firefox - Opera 11.61
Testkandidat: Opera
Die Sicherheitslücke ist als kritisch eingestuft und wurde mit dem Update 17.0.963.78 vom 8. März 2012 behoben. Es handelt sich um CVE-2011-3046, für das derzeit noch keine weiteren Details bekannt sind. Neben der gefährlichen Sicherheitslücke hat Google noch kleinere Probleme mit Flash-Spielen und -Videos ausgemerzt.
Google empfiehlt Anwendern dringend, auf die aktuelle Version 17.0.963.78 zu aktualisieren. Die neueste Version ist wie üblich auf der Projektseite kostenlos verfügbar.
Wer also in Sachen Sicherheit firm ist, kann sich bei Google ein nettes Nebenbrot verdienen. Rockstars der Szene wie Sergey Glazunov können wohl mittlerweile komplett vom Finden von Sicherheitslücken in Googles Browser leben. Google käme mittlerweile wohl billiger davon, Herrn Glazunov als festen Entwickler einzustellen.
Google nimmt seinen Browser sehr ernst und wird durch wachsende Nutzer-Raten belohnt. Chrome hat in verschiedenen Benchmark-Tests auch grundsätzlich die Nase vorne. Mozillas Firefox ist zwar nicht mehr so abgeschlagen, wie noch vor einem Jahr, aber an Chrome führt derzeit kein Weg vorbei. (jdo)