Google stopft sieben Löcher in Chrome

Google Chrome war zu Beginn ein recht schlanker, um nicht zu sagen spartanischer Browser. Mit der Zeit hat der Funktionsumfang zugenommen, der Code wurde komplexer und die Angriffsfläche grösser. Mit der Code-Komplexität steigt auch die Zahl potenzieller Sicherheitslücken. So müssen die Chrome-Entwickler vier Wochen nach dem letzten grösseren Sicherheits-Update erneut sieben Lücken schliessen.

Wie bei Google üblich werden einstweilen keine Details zu den beseitigten Schwachstellen veröffentlicht. Der Suchmaschinenriese will damit warten, bis die meisten Anwender das Update auf die Version 4.1.249.1059 installiert haben. Dies wird automatisch, ohne Benutzereingriff heruntergeladen und beim nächsten Neustart von Chrome installiert.

Google führt bislang lediglich die gestopften Löcher kurz auf, die Links zu den Details enden auf der Startseite von Google Code. Der Aufzählung ist immerhin zu entnehmen, dass unter den sieben beseitigten Schwachstellen mehrere XSS- (Cross-Site-Scripting) und XSRF-Lücken (Cross-Site-Request-Forgery) sind. Beides sind Browser-typische Angriffsmöglichkeiten, bei denen meist Javascript-Code versucht, auf Inhalte fremder Domains oder Web-Seiten zuzugreifen. Das kann etwa für Phishing-Attacken genutzt werden.

Die meisten Schwachstellen hat das Google Security Team selbst entdeckt, für zwei werden je 500 US-Dollar Prämie an die Entdecker ausgezahlt, die sie vertraulich an den Konzern gemeldet haben.