Neue Version von Google Chrome

Die Google-Chrome-Version 5.0.375.70 für Windows, Mac OS X und Linux beseitigt insgesamt elf Schwachstellen, von denen eine nur Linux betrifft. Bei neun Lücken hat Google das Risiko als hoch eingestuft, bei den verbleibenden zwei Lücken als mittel.

Im Rahmen seines Programms «Chromium Security Reward» prämiert der Suchmaschinenriese Security-Lücken, die von Einzelpersonen gefunden und vertraulich an Google gemeldet werden, mit 500 US-Dollar. Nach eigenem Ermessen legt Google noch eine zusätzliche Summe drauf, falls sich der Prämierte entschliesst, das Geld für einen guten Zweck zu spenden. Der Entwickler Sergey Glazunov erhält vom Konzern sogar 2000 Dollar, der Grund bleibt unklar.

Glazunov war schon bis dahin mit 1337 Dollar Spitzenreiter der Prämiengewinner. Er hat einen Weg gefunden, wie man mit Hilfe von DOM-Methoden (Document Object Model) die so genannte Same Origin Policy umgehen kann. Sie verbietet den Zugriff auf Seiten oder Scripte aus fremden Domains und soll zum Beispiel XSS-Angriffe (Cross-Site Scripting) verhindern.

Einige weitere Schwachstellen ermöglichen es einem Angreifer Speicherbereiche zu manipulieren, um eventuell Code einzuschleusen zu können. Die Linux-Lücke erlaubt das Ausbrechen von Code aus der Chrome-Sandbox, was den Zugriff auf Bereiche ermöglichen kann, die durch die Sandbox geschützt werden sollten.

Details zu den Lücken veröffentlicht Google grundsätzlich nicht, solange das betreffende Update noch nicht bei der überwiegenden Zahl der Chrome-Nutzer angekommen ist. Chrome lädt Updates automatisch im Hintergrund herunter und installiert sie ohne weiteres Zutun des Benutzers beim nächsten Neustart.