Google stopft 11 Sicherheitslücken in Chrome

Die neue stabile Browser-Version Chrome 5.0.375.70 für Windows, Mac OS X und Linux schließt insgesamt 11 Sicherheitslücken, von denen eine nur Linux betrifft. Bei neun Schwachstellen hat Google das Risiko als hoch eingestuft, bei den verbleibenden zwei Lücken als mittel.

Im Rahmen seines Programms "Chromium Security Reward" prämiert Google einzelne Sicherheitslücken, die von Einzelpersonen gefunden und vertraulich an Google gemeldet werden, mit 500 US-Dollar. Nach eigenem Ermessen legt Google noch eine zusätzliche Summe drauf, falls sich der Prämierte entschließt das Geld für einen guten Zweck zu Spenden. Sergey Glazunov erhält sogar 2000 Dollar, der Grund bleibt unklar. Glazunov war schon bis dahin mit 1337 Dollar Spitzenreiter der Prämiengewinner.

Glazunov hat einen Weg gefunden, wie man mit Hilfe von DOM-Methoden (Document Object Model) die so genannte Same Origin Policy umgehen kann. Sie verbietet den Zugriff auf Seiten oder Scripte aus fremden Domains und soll zum Beispiel XSS-Angriffe (Cross-Site Scripting) verhindern.

Einige weitere Schwachstellen ermöglichen es einem Angreifer Speicherbereiche zu manipulieren, um eventuell Code einzuschleusen zu können. Die Linux-Lücke erlaubt das Ausbrechen von Code aus der Chrome-Sandbox, was den Zugriff auf Bereiche ermöglichen kann, die durch die Sandbox geschützt werden sollten.

Details zu den Lücken veröffentlicht Google grundsätzlich nicht, solange das betreffende Update noch nicht bei der überwiegenden Zahl der Chrome-Nutzer angekommen ist. Chrome lädt Updates automatisch im Hintergrund herunter und installiert sie ohne weiteres Zutun des Benutzers beim nächsten Neustart. (PC Welt/mje)