Google schließt sieben Lücken in Chrome

Google Chrome war anfangs ein recht schlanker, um nicht zu sagen spartanischer Browser. Mit der Zeit hat der Funktionsumfang zugenommen, der Code wird komplexer und die Angriffsfläche größer. Mit der Code-Komplexität steigt auch die Zahl potenzieller Sicherheitslücken. So müssen die Chrome-Entwickler vier Wochen nach dem letzten größeren Sicherheits-Update erneut sieben Lücken schließen.

Wie bei Google üblich werden einstweilen keine Details zu den beseitigten Schwachstellen veröffentlicht. Google will damit warten, bis die meisten Anwender das Update auf die Version 4.1.249.1059 installiert haben. Dies wird automatisch, ohne Benutzereingriff herunter geladen und beim nächsten Neustart von Chrome installiert. Google führt bislang lediglich die gestopften Löcher kurz auf, die Links zu den Details enden auf der Startseite von Google Code.

Der Aufzählung ist immerhin zu entnehmen, dass unter den sieben beseitigten Schwachstellen mehrere XSS- und XSRF-Lücken sind. XSS steht für Cross-Site Scripting, XSRF für Cross-Site Request Forgery. Beides sind Browser-typische Angriffsmöglichkeiten, bei denen meist Javascript-Code auf Inhalte fremder Domains oder Web-Seiten zuzugreifen versucht. Das kann etwa für Phishing-Angriffe genutzt werden.

Die meisten Schwachstellen hat das Google Security Team selbst entdeckt, für zwei werden auch wieder je 500 US-Dollar Prämie an die Entdecker ausgezahlt, die sie vertraulich an Google gemeldet haben. (PC-Welt/cvi)