Chrome 4 schließt 13 Sicherheitslücken

Das Update auf Google Chrome 4 lohnt sich nicht nur wegen der neuen Funktionen und höheren Geschwindigkeit, sondern auch, weil es 13 Sicherheitsprobleme beseitigt. Sechs davon stufen die Chrome-Entwickler als kritisch ein, weil durch sie ein Angreifer offenbar einen Windows-PC kompromittieren kann. Die Lücken finden sich laut der Zusammenfassung von Google in den Funktionen zum Zeichnen von Canvas-Elementen, der Verarbeitung von Bildern sowie der Blockierung von Zugriffen auf Objekte in anderen Domains.

Einer der Fehler trägt eine bemerkenswert niedrige Fehlernummer, was darauf hindeuten könnte, dass der Fehler den Entwickler schon seit Längerem bekannt war, es aber einige Zeit dauerte, ihn zu schließen. Genauere Angaben macht Google nicht. Bei den restlichen Fehlern handelt es sich um weniger kritische Lücken. Eine dieser Lücken ermöglicht es einem Angreifer mit bestimmten Redirects, in der URL enthaltene Informationen wie Parameter oder Login-Daten auszuspähen. Dieser Fehler ist auch in Apples Safari zu finden. Ob die anderen Fehler in Chrome in ähnlicher Weise ebenfalls in Safari vorkommen, ist nicht bekannt. Da beide Browser auf WebKit beruhen, ist dies jedoch nicht auszuschließen.

Chrome 4.x bringt zudem noch zwei neue Sicherheitsfunktionen mit. Durch "Strict Transport Security"-Unterstützung kann ein Server den Browser dazu zwingen, von einer unsicheren http-Verbindung auf eine sichere https-Verbindung zu wechseln. Des Weiteren bringt Chrome 4 einen experimentellen Cross-Site-Scripting-Schutz namens XSS Auditor mit. Der Filter prüft, ob ein JavaScript bereits in dem Request enthalten war, das beim Aufbau einer verwundbare Webseite nun zurückgeliefert wird. Wenn ja, handelt es sich sehr wahrscheinlich um eine sogenannte reflektive XSS-Attacke, bei dem ein Angreifer einen Link manipuliert hat – der Browser führt das Skript dann nicht aus.


Siehe dazu auch

• Stable Channel Update, Zusammenfassung von Google
• Google Chrome 4 ist fertig

(dab)