Google beseitigt kritische Sicherheitslücken in Chrome
Sandbox-Konzept grenzt Gefahren der Sicherheitslücken ein
Mit dem Update auf die stabile Chrome-Version 2.0.172.43 beseitigt Google einige kritische Sicherheitslücken in seinem Browser.
Chrome 2.0.172.43 beseitigt unter anderem einen Fehler in der Javascript-Engine V8 (CVE-2009-2935), die ein unerlaubtes Auslesen des Speichers via Javascript erlaubt. Dazu genügt ein entsprechend präpariertes Javascript auf einer Website, das dann unter Umgehung aller Sicherheitsvorkehrungen Daten des Nutzers stehlen kann. Gefunden wurde die Schwachstelle von Mozillas Sicherheitsteam.
Zwei weitere kritische Fehler treten bei der XML-Verarbeitung auf (CVE-2009-2414, CVE-2009-2416): Seiten mit XML können Chromes Tab-Prozesse zum Absturz bringen und es Angreifern erlauben, Code in der Sandbox des jeweiligen Tab-Prozesses auszuführen. Andere Tabs wären davon nicht betroffen.
Darüber hinaus akzeptiert Chrome künftig keine mit MD2 oder MD4 signierten SSL-Zertifikate mehr, da die Hash-Algorithmen mittlerweile als wenig sicher gelten, was ein zu leichtes Fälschen der Zertifikate erlaubt.
Chrome 2.0.172.43 steht unter google.com/chrome ab sofort zum Download bereit und wird auch über den Stable-Channel von Chrome ausgeliefert.
Betrifft diese Lücke auch Chrome 3? Die Frage stellt sich zumindest mir persönlich.
Der sammelt keine Daten. Mach ich auch so.