Google schließt Lücken in Chrome für Android

Mit einem Update schließt Google mehrere mittelschwere Lücken in seinem Chrome-Browser für Android. Auch die Sandbox soll den Rest des Browsers besser vor bösartigen Web-Anwendungen schützen.

In Pocket speichern vorlesen Druckansicht 42 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christian Kirsch

In der jetzt veröffentlichten Version 18.0.1025308 seines Chrome-Browsers für Android schließt Google 7 als mittelschwer eingestufte Sicherheitslücken. Für jede erhielt der Entdecker eine Belohnung von 500 US-Dollar. Der Blog-Beitrag beschreibt die Fehler nur allgemein, und die Bug-Datenbank verrät nichts über sie.

Zwei Lücken betreffen Cross-Application Scripting (UXSS), nutzen also Schwächen innerhalb des Browsers für eine XSS-Angriff (Cross-Site Scripting) aus. Geeignete URLs mit dem Schema "file" konnten offenbar dank zweier weiterer Fehler Authentifizierungsdaten (Credentials) zugänglich machen, und ein Bug gewährte JavaScript-Code Zugriff auf Android-APIs.

Eine UXSS-Lücke war kürzlich auch in der Desktop-Version von Chrome entdeckt worden. Im März 2012 zahlte Google dem Pwnage-Teilnehmer Sergey Glazunov dafür die Rekordprämie von 60.000 US-Dollar.

In einem weiteren Blog-Beitrag sprechen die Chrome-Entwickler davon, dass sie die Sicherheitsfunktionen der Sandbox verbessert hätten, sodass der Browser besser vor bösartigen Webanwendungen geschützt sei. Die neue Funktion verwende die "Technik der User-ID-Isolierung" und werde für Nutzer von Android 4.1 automatisch angeschaltet. Wie sie genau funktioniert und ob sie für ältere Android-Versionen nachgerüstet werden wird, ist dem Beitrag nicht zu entnehmen.

Siehe dazu auch:

(ck)