Browser-Sicherheit

Google Chrome geflickt und Firefox sucht sicherer

Es gibt neue spannende Geschichten von zwei der prominentesten Internet-Browser. Firefox hat nun einen Patch eingepflegt, der die Standard-Suche auf Google SSL umstellt. Google bessert bei Chrome einige Schwachstellen aus.

Das "s" macht den kleinen aber feinen Unterschied. Zumindest wenn es um das http-Protokoll geht. Bereits am 6. Januar wurde der Patch eingepflegt, die Standard-Suche in Firefox auf https://www.google... umzustellen. Bisher ist dieser allerdings noch nicht in einem Build des prominenten Open-Source-Browsers aufgetaucht. Vor wenigen Tagen wurde in einem nächtlichen Bau des Browsers Bugzilla-Eintrag #633773 adressiert. Dieser behandelt genau das Verhalten, ob Firefox per Standard http oder https für Google verwenden soll.(jdo)

Dieser Schritt ist eine Extra-Schicht Sicherheit für Firefox-Anwender und Lauschangriffe sind schwerer. Bei searchengineland.com wird darauf hingewiesen, dass nun nur noch Google und der Anwender die Ergebnisse sehen. Es gibt allerdings zwei Ausnahmen: Googles Werbetreibende und Google Webmaster Central. Hier gebe es einen kleinen Unterschied zwischen Google SSL Suche und die verschlüsselte Google Suche. Wer nämlich gar keinen Referrer senden möchte, müsste https://encrypted.google.com/ benutzen und nicht https://www.google.com/. Aber auch bei kompletter Verschlüsselung gibt es eine Ausnahme. Der Referrer wird gesendet, wenn die aufgerufene Seite ebenfalls eine verschlüsselte Verbindung öffnet.

Google hat eine Aktualisierung für den hauseigenen Browser Chrome ausgegeben. Google hat sich die Hinweise auf die Schwachstellen diesmal insgesamt 5000 US-Dollar kosten lassen. Insgesamt haben die Entwickler acht Sicherheitslücken ausgebessert. Sechs davon sind als hoch eingestuft und die beiden anderen als gering.

Mit 2000 US-Dollar wurde die gemeldete Lücke vom mittlerweile sehr bekannten Chrome-Hacker Sergey Glazunov dotiert. Es handelt sich hier um ein Cross-Origin-Verbot. Die Entwickler nennen es "Magic iFrame" (CVE-2011-3056). Die drei anderen Schwachstellen, auf die es Kopfgeld gab, haben mit Use-After-Free-Problemen zu kämpfen: CVE-2011-3050, CVE-2011-3051 und CVE-2011-3053. Das könnte zum Ausführen beliebigen Codes führen. Eine weitere gefährliche Lücke ist in der Canvas-Behandlung von WebGL beheimatet (CVE-2011-3052).

Die letzte als hoch eingestufte Sicherheitslücke hat mit der PNG-Bibliothek libpng zu tun (CVE-2011-3045). Mit einer speziell manipulierte PNG-Datei ist unter Umständen das Ausführen beliebigen Codes möglich. Sie können Chrome 17.0.963.83 wie üblich direkt bei Google herunterladen. Anwender sollten möglichst zeitnah aktualisieren.

In der Ankündigung des Sicherheits-Updates wird außerdem noch mal eine Schwachstelle aus dem Vorgängerflicken aufgegriffen. Google hat laut eigener Aussage vergessen, die Lorbeeren für diesen Fund richtig zu verteilen.

Beide Browser sind für die Betriebssysteme Windows, Mac OS X und Linux verfügbar. Die Änderungen und Sicherheits-Updates betreffen somit die drei prominentesten Betriebssysteme auf dem Desktop.