Google schließt Sicherheitslücken in Chrome
Ein Fehler in der JavaScript-Engine ermöglicht das Umgehen der Same Origin Policy. Nach Angaben von Google kann ein JavaScript etwa die URL und andere Attribute und Daten in einem anderen Frame lesen. Daneben schließt das Update XSS-Lücken.
- Daniel Bachfeld
Googles Chrome-Entwickler haben das Update 1.0.154.46 vorlegt, das drei Sicherheitslücken schließt. Zwei davon beruhen auf fehlerhaften Aufrufen des Adobe-Reader-Plugins und ermöglichen es, mit manipulierten PDF-Dokumenten Cross-Site-Scripting-Angriffe durchzuführen. Das Chrome-Update verhindert allerdings nur den Aufruf, ohne das eigentliche Problem zu beheben. Daher arbeitet Adobe bereits an einem Update für sein Reader-Plugin.
Darüber hinaus ermöglicht ein Fehler in der JavaScript-Engine das Umgehen der Same Origin Policy. Nach Angaben von Google kann ein JavaScript etwa die URL und andere Attribute und Daten in einem anderen Frame lesen. Angreifer könnten damit beispielsweise Eingaben in einem Formular ausspionieren. Dazu muss der Anwender allerdings ein Fenster mit dem bösartigen JavaScript und ein Fenster etwa seiner Bank geöffnet haben. Google stuft das Problem als kritisch ein.
Des Weiteren sind in die neue Version auch Verbesserungen eingeflossen: Windows Live Hotmail soll nun funktionieren und das Versenden von Mails mit Yahoo Mail auch wieder gehen. Neben der Stable-Version haben die Entwickler auch ein Update der Beta-Version 2.x veröffentlicht, die man jedoch nicht im produktiven Betrieb einsetzen sollte. Die Updates sind über die Funktion "Google Chrome anpassen/Info zu Google Chrome" zu beziehen.
Siehe dazu auch:
- Stable, Beta update: Yahoo! Mail and Security Fixes, Bericht von Google
(dab)
