Drei kritische Lücken in Chrome geschlossen

Google hat Chrome 2.0.172.43 veröffentlicht, um mehrere Sicherheitslücken zu schließen. Drei davon stuft der Hersteller als kritisch ein, da ein Angreifer seinen Code in den PC eines Anwenders schleusen und starten kann. Dazu genügt der Besuch einer präparierten Webseite. Allerdings läuft der Code laut Bericht nur in der Chrome-Sandbox, sodass der Angreifer keinen vollständigen Zugriff auf das System hätte.

Ursache der kritischen Probleme sind ein Fehler in der V8-JavaScript-Engine sowie zwei Fehler in der Bibliothek libxml2. Auf letztere hatte der Sicherheitsdienstleister Codenomicon bereits Anfang des Monat hingewiesen. Auch andere Hersteller sind von dieser Lücke in libxml2 betroffen.

Darüber hinaus hat Google die Verarbeitung von SSL-Zertifikaten überarbeitet. Künftig akzeptiert der Browser keine Zertifikate mehr, bei denen die Hash-Algorithmen MD2 oder MD4 Verwendung finden. Beide Verfahren gelten als wenig standhaft gegenüber Kollisionsattacken und könnten so einem Angreifer ermöglichen, dem Browser gefälschte Zertifikate unterzuschieben.

Eine detaillierte Beschreibung der Lücken ist noch nicht freigegeben, da der Hersteller erst warten möchte, bis die Mehrzahl der Anwender die neue Version installiert hat. Das Update geschieht über das in Chrome integrierte Silent Update.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.