Google schließt 37 Sicherheitslücken in Chrome 78
Wer mit Chrome surft, sollte die aktuelle Version installieren. Diese enthält nicht nur Sicherheitsfixes, damit kann man auch DNS over HTTPS ausprobieren.
Googles Chrome-Browser ist für Linux, macOS und Windows in der abgesicherten Version 78 erschienen. Darin haben die Entwickler insgesamt 37 Sicherheitslücken geschlossen. Unter bestimmten Voraussetzungen könnten Angreifer Schadcode ausführen. Es ist aber keine der Lücken mit dem Bedrohungsgrad "kritisch" eingestuft.
Das von drei Schwachstellen (CVE-2019-13699, CVE-2019-13700, CVE-2019-13701) ausgehende Angriffsrisiko gilt als "hoch". An diesen könnten Angreifer beispielsweise ansetzen, um Speicherfehler auszulösen. In der Regel endet so etwas in der Ausführung von Schadcode. Wie man einer Warnemldung von Google entnehmen kann, sind die verbleibenden Lücken mit "mittel" und "niedrig" eingestuft.
Jetzt patchen!
Damit potenzielle Angreifer nicht zu viele Details über die Schwachstellen in die Finger bekommen, hält sich Google derzeit noch mit Infos zurück. Das minimiert das Risiko von anstehenden Attacken, sodass Nutzer den Webbrowser aktualisieren können. In der Regel passiert das automatisch.
Unter Windows kann man in den Einstellungen unter Hilfe/Über Google Chrome prüfen, welche Version installiert ist. Befindet sich noch eine ältere Ausgabe auf dem Computer, startet mit dem Nachschauen der Update-Vorgang.
Verschlüsselte DNS-Anfragen
Wer sich im Internet bewegt, löst permanent DNS-Anfragen aus. Diese sind unverschlüsselt und man kann daraus Aktivitäten von Nutzern ableiten. Das könnten beispielsweise Staaten als Spionage-Werkzeug nutzen.
Dem kann man mit verschlüsselten DNS-Anfragen entgegenwirken – beispielsweise mit DNS over HTTPS (DoH). Genau das können einige Chrome-78-Nutzer nun ausprobieren. Wer den Webbwrowser unter iOS und Linux nutzt, kann DoH derzeit noch nicht testen. Unterstützt werden die DNS-Anbieter Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS und Quad9. Wenn die Voraussetzungen stimmen, soll DoH automatisch zum Einsatz kommen.
Im heise-Security-Hintergrundartikel "Was man über DNS als Sicherheits-Werkzeug wissen muss" findet man tiefer gehende Infos zur Thematik.
Chrome erkennt geleakte Passwörter
Ab sofort kann Chrome Nutzer davor warnen, wenn sie in Leaks vorhandene Passwörter nutzen. Beim Besuch einer Website, bei der man sich einloggt, prüft Google die Zugangsdaten und gibt gegebenenfalls eine Warnmeldung zurück, wenn ein verbranntes Passwort zum Einsatz kommt. Die Übermittlung der Kennwörter soll verschlüsselt erfolgen, sodass Google diese nicht einsehen kann, versichert das Unternehmen.
Früher war für diesen Check das Addon "Password Checkup" notwendig. Nun führt Chrome die Prüfung direkt aus. Standardmäßig ist sie aber nicht aktiv. Wer sie nutzen möchte, muss die folgende Zeile in die Adressleiste kopieren und die Funktion einschalten.
chrome://flags/#password-leak-detection
(des)