Google hat in Chrome 81 jede Menge Sicherheitslücken geschlossen
Die aktuelle Chrome-Version unterstützt die veralteten Verschlüsselungsprotokolle TLS 1.0/1.1 länger. Außerdem wurde der Umgang mit Mixed Content optimiert.
Die Chrome-Entwickler haben in der aktuellen Ausgabe 81.0.4044.92 insgesamt 32 Sicherheitslücken aus der Welt geschafft. Die Version ist für Linux, macOS und Windows verfügbar. Darüber hinaus ist auch eine abgesicherte Ausgabe von Chromium erschienen.
Gefährliche Schwachstellen
In einer Warnmeldung stuft Google das von drei Sicherheitslücken (CVE-2020-6423, CVE-2020-6454, CVE-2020- 6455) ausgehende Sicherheitsrisiko als "hoch" ein. In allen drei Fällen könnten Angreifer Speicherfehler provozieren. Über diesen Weg kann Schadcode auf Computern landen und ausgeführt werden.
Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad "mittel" und "niedrig" eigestuft. Damit Angreifer nicht zu viele Informationen als Anknüpfungspunkte für Attacken bekommen, veröffentlicht Google keine weiterführenden Details zu den Lücken.
Wer Chrome nutzt, sollte die aktuelle Version zeitnah installieren. In der Regel geschieht dies beispielsweise unter macOS und Windows automatisch. Um die installierte Version zu prüfen, klickt man oben rechts auf die drei vertikal angeordneten Punkten und dann auf "Hilfe", "Über Google Chrome". Ist die Ausgabe noch nicht auf dem aktuellen Stand, stößt man so auch die manuelle Aktualisierung an.
Mixed Content
Ab sofort versucht Chrome standardmäßig alle HTTP-Inhalte über eine gesicherte HTTPS-Verbindung zu laden. Ist das nicht möglich, stellt der Webbrowser beispielsweise Bilder auf einer Website nicht dar. Außerdem bekommen Entwickler in der Konsole nun Warnmeldungen serviert, wenn zum Beispiels auf einer HTTPS-Seite ein Download via HTTP stattfindet. Hier müssen Entwickler ran, da kommende Chrome-Versionen solche Downlaods nicht zulassen werden.
Verschoben
Eigentlich sollte die Unterstützung der schon lange als unsicher geltenden Verschlüsselungsprotokolle TLS 1.0/1.1 aus Chrome 81 verschwinden. Das wurde einer Meldung von Google zufolge nun auf Chrome 84 verschoben. Die Entwickler von Edge und Firefox haben die Streichung der Unterstützung ebenfalls verschoben. Hintergrund ist, dass US-Regierungswebsites zum Teil noch auf die veralteten Protokolle setzen. Diesen Seiten könnte man dann nicht mehr aufrufen.
TLS 1.0/1.1 gilt als unsicher, weil die Protokolle unter anderem auf die gebrochenen Verfahren MD5 und SHA-1 setzen. Somit entsprechen TLS 1.0/1.1 nicht mehr dem Payment Card Industry Data Security Standard (PCI-DSS). Der Standard ist für Websites verpflichtend, die Bezahlungen via Kreditkarten anbieten.
Website-Admins sollten spätestens jetzt sicherstellen, dass ihre Seiten mindestens TLS 1.2 unterstützen. (des)
