Google muss 21 Sicherheitslücken in Chrome 54 eliminieren
Etwa Mitte Oktober hat Google den Usern die finale Version von Chrome 54 bereitgestellt. Bisher haben Sicherheitsexperten und Entwickler 21 Sicherheitslücken entdeckt und geschlossen. Dabei wurden Plug-Ins wie Silverlight oder Java bereits im Vorfeld jegliche Unterstützung verweigert.
21 Schwachstellen wurden ausgemerzt
Zahlreiche sicherheitsrelevante Schwachstellen hat Google mit der Chrome Version 54.0.2840.59 nun beseitigt sowohl für Windows, Mac und Linux. In der gesamten Anzahl handelt es sich um 21 Sicherheitslücken.
Die Desktop-Ausführungen zeigen im Grunde keiner optischen Veränderungen. Hier wurde lediglich im Hintergrund nachgebessert. So wandelt Chrome den Code der Webseite intern um, wenn diese beispielsweise YouTube-Videos einbinden und dafür den Flash Player voraussetzen. Mit dieser Umschreibung ermöglicht der Chrome-Browser nun die Wiedergabe im HTML5-Format.
Merklich hingegen zeigen sich diverse Änderungen in der Android-Version.
Zahlreiche Sicherheitslücken durch externe Sicherheitsforscher entdeckt
Im Chrome Release Blog gibt Richard Bustamante bekannt, dass 13 Sicherheitslücken von externen Sicherheitsforschern entdeckt und an Google übermittelt wurden.
Diese Entdecker dürfen sich über Bug Prämien freuen. Die Höhe der Prämien beläuft sich momentan schätzungsweise auf etwa 30.000 US-Dollar. Die Prämienhöhe für eine Sicherheitslücke ist nicht bekannt. Allerdings stuft Google selber 6 der 13 Lücken als hohes Risiko ein.
Über die höchste Prämie von 7500 US-Dollar darf sich ein nicht weiter bekannter Forscher freuen, der eine Cross-site Scripting-Lücke (Universal XSS) in Blink, dem auf WebKit basierenden HTML-Renderer entdeckte. In Blink sind zudem zwei weitere relevante Schwachstellen aufgetreten. Zum einen eine Use-after-free-Lücke als auch ein Speicherüberlauf. Zudem wurden zwei weitere Use-after-free-Lücken im integrierten PDF-Viewer PDFium behoben.
Schwachstellen
Richard Bustamante geht in dem Blogbeitrag nicht näher auf die anderen Schwachstellen, welche intern entdeckt wurden als auch solche, die bereits während der Entwicklungsphase auftraten nicht weitern ein. NPAPI-Schnittstelle wird nicht mehr unterstützt, Flash Player aber nicht betroffen
Schnittstellen
Plug-Ins, die noch an den alten Netscape-Zeiten hängen und eine NPAPI-Schnittstelle benötigen werden von Chrome bereits seit Anfang September nicht mehr unterstützt. Zu den bekanntesten dieser Plug-Ins zählen Silverlight und Java. Wer Webseiten besucht, die noch auf diese veraltete Technologie setzt muss auf einen anderen Browser zurückgreifen.
Der Flash Player ist von dieser Maßnahme allerdings nicht betroffen. Chrome selber bringt eine Flash-Ausführung mit, welche eine neuere PPAPI-Schnittstelle verwendet. Befindet sich der integrierte Flash-Player nicht mehr auf dem aktuellsten Stand, werden entsprechende Ausführungen von Chrome unterbunden und dem User ein entsprechender Hinweis angezeigt. Für gewöhnlich aktualisiert Chrome den Flash Player allerdings stets automatisch.