Google schließt zwei Sicherheitslücken in Chrome
Laut Google könnte ein Angreifer über eine Webseite Code in das System schleusen und starten. Auch lässt sich ein Speicherfehler im Render-Prozess unter Umständen ausnutzen.
Google hat Chrome in Version 2.0.172.37 vorgelegt, um einen Heap Overflow in der JavaScript-Engine bei der Verarbeitung präparierter regulärer Ausdrücke zu beseitigen. Laut Google könnte ein Angreifer über eine Webseite Code in das System schleusen und starten – allerdings nur in der Sandbox des Browsers. Eine detaillierte Beschreibung der Lücke ist noch nicht freigegeben, da der Hersteller erst warten möchte, bis die Mehrzahl der Anwender die neue Version installiert hat. Das Update geschieht über das in Chrome integrierte Silent Update.
Zudem lässt sich ein Speicherfehler im Render-Prozess unter Umständen ausnutzen, um Code einzuschleusen und im Kontext des Anwenders zu starten. Da die Daten nach Angaben von Google aber dafür aus dem Render-Prozess selbst stammen müssen, müsste ein Angreifer diesen zuvor über eine weitere Lücke manipuliert haben. Dennoch stuft der Hersteller das Problem kritischer als den Heap Overflow ein. Eine ähnlich seltsame Lücke hatte Google bereits in Chrome 1.0.154.64 im Mai geschlossen.
Darüber hinaus hat Google die Stabilität der Browsers verbessert und ein Problem bei der Anzeige von Captchas auf der hauseigenen Social-Networking-Seite orkut.com behoben. Zudem sollen nun die Vorwärts- und Rückwärts-Buttons bei Redirects richtig funktionieren.
Siehe dazu auch:
- Stable, Beta update: Bug fixes, Beschreibung von Google
(dab)
