Sicherheitsupdate: Chrome 67 rüstet sich weiter gegen Meltdown und Spectre

Google schließt in der aktuellen Version seines Webbrowsers mehrere Sicherheitslücken, schmeißt einen Sicherheitsmechanismus raus, aktiviert im Gegenzug aber auch einen neuen für mehr Nutzer.

In Pocket speichern vorlesen Druckansicht 52 Kommentare lesen
Lesezeit: 2 Min.

In Chrome 67 soll das Sicherheitsfeature Site Isolation zwar immer noch nicht standardmäßig, dafür aber für immer mehr Nutzer aktiviert sein. Außerdem hat Google den Standard HTTPS Public Key Pinning (HPKP) aus Chrome entfernt. Darüber hinaus haben die Entwickler in der aktuellen Ausgabe 34 Sicherheitslücken geschlossen. Davon gilt keine als kritisch – neun Stück sind mit dem Bedrohungsgrad "hoch" eingestuft.

Site Isolation soll Webseiten effizient voneinander abschotten, indem Seiten in jeweils einzelnen Prozessen laufen. Der Schutz ergänzt die Sandboxen, in denen Chrome Webseiten öffnet. Durch Site Isolation soll es Angreifern noch schwerer fallen, über eine manipulierte Webseite Informationen von anderen Seiten abzuziehen. Der Ansatz soll vor allem vor Seitenkanal-Attacken wie den CPU-Lücken Meltdown und Spectre und UXSS-Attacken schützen.

Mit Chrome 67 soll das Feature nun für noch mehr Nutzer aktiv sein. In unserem Fall war Site Isolation nach einer Test-Installation aber noch deaktiviert. Wer es aktivieren möchte, tippt in die Adressleiste chrome://flags. Anschließend sucht man nach "Strict site isolation" und aktiviert den Eintrag. Nach einem Neustart von Chrome ist das Sicherheitsfeature aktiv. Beim wem Site Isolation für Fehler sorgt, kann diese direkt an Google schicken.

Mit Chrome 67 verabschiedet sich Google wie angekündigt von HPKP. Der Standard soll das Web sicherer machen, doch wurde vor allem aufgrund der nicht ganz trivialen Einrichtung nur wenig genutzt. Mit HPKP kann ein Webseitenbetreiber dem Browser seiner Web-Seiten-Besucher mitteilen, dass er immer Zertifikate etwa von Letsencrypt oder RapidSSL verwendet. Taucht beim nächsten Besuch dann ein Zertifikat einer anderen Zertifizierungsstelle auf, läuft etwas schief und der Browser lehnt die offensichtlich kompromittierte Verbindung ab.

Die aktuelle Version des Webbrowsers unterstützt nun auch WebAuthn und somit Logins ohne Passwörter. Über diesen Standard kann man sich bei Web-Services beispielsweise mit USB-Token und biometrischen Verfahren einloggen. (des)