Chrome 79: Warnung vor geleakten Passwörtern, Phishing-Schutz und gestopfte Sicherheitslücken
Google hat in der aktuellen Chrome-Version mehrere Sicherheitslücken geschlossen. Außerdem soll der Browser nun effektiver u.a. vor Phising-Websites warnen.
Beim ab sofort verfügbaren Chrome Browser in der Ausgabe 79 haben die Entwickler in erster Linie die Sicherheit ausgebaut. Dabei wurden nicht nur 51 Sicherheitslücken geschlossen, sondern auch neue Sicherheitsfunktionen integriert.
Zwei der Schwachstellen sind mit dem Bedrohungsgrad "kritisch" eingestuft. Für acht weitere gilt das Angriffsrisiko als "hoch". In einigen Fällen könnten Angreifer Speicherfehler provozieren und so Schadcode auf Computer schieben und ausführen. Wie das im Detail funktioniert, geht aus der Sicherheitswarnung nicht hervor. Google will potenziellen Angreifern nicht zu viel verraten, sodass so viele Nutzer wie möglich die abgesicherte Version installieren können.
Eigentlich sollte ein Update automatisch stattfinden. Ist das nicht der Fall, klickt man beispielsweise in Windows auf die drei vertikalen Punkte rechts oben und dann auf Hilfe/Über Google Chrome. Anschließend ist noch ein Neustart des Browsers fällig, damit die aktuelle Version läuft.
Weitere Sicherheitsfeatures
Chrome soll nun noch effektiver vor Phishing-Websites warnen. Dabei handelt es sich um beispielsweise gefälschte Paypal-Seiten, auf denen Opfer ihre Log-in-Daten preisgeben sollen. Derartige Websites sprießen quasi im Minutentakt aus dem Boden. Bislang aktualisiert sich Googles Safe-Browsing-Liste mit solchen Seiten nur alle 30 Minuten. In Chrome 79 soll diese Aktualisierung nun in Echtzeit stattfinden. Außerdem gibt es nun eine Warnung, wenn man sein Passwort auf einer verdächtigen Website eingeben will.
Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, bei der man sich einloggt, prüft Google die Zugangsdaten und gibt gegebenenfalls eine Warnmeldung zurück, wenn ein verbranntes Passwort zum Einsatz kommt. Die Übermittlung der Kennwörter soll verschlüsselt erfolgen, sodass Google diese nicht einsehen kann, versichert das Unternehmen. Dieses Feature gibt es optional schon seit Chrome 78 beziehungsweise über das Addon "Password Checkup" – nun ist die Passwortüberprüfung standardmäßig aktiviert.
Unsichere Verbindung
Ab 13. Januar 2020 markiert Chrome mit TLS 1.0 und 1.1 verschlüsselte Verbindungen zu Websites als unsicher. Damit steht Chrome aber nicht alleine da: Edge, Firefox, Internet Explorer 11 und Safari wollen es Anfang 2020 auch so machen.
Der TLS-Standard sorgt im Internet in Form von HTTPS für einen verschlüsselten Seitenabruf. Außerdem ist TLS der wichtigste Standard für Authentifizierung im Internet. TLS 1.0 ist seit 19 Jahren im Einsatz. Die veralteten Versionen setzen unter anderem auf die schon lange als unsicher geltenden Hash-Verfahren MD5 und SHA-1. (des)