Sharing is caring!

Google hat ein weiteres Sicherheitsupdate für Chrome 50 veröffentlicht.

Die Version 50.0.2661.102 für Windows, OS X und Linux stopft insgesamt fünf Löcher. Von drei Anfälligkeiten geht ein hohes Risiko aus. Ein Angreifer kann mit ihrer Hilfe Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen. Darüber hinaus aktualisiert das Release das integrierte Flash-Plug-in auf die Version 21.0.0.242.
Google Chrome Logo
Bild: Google
Beseitigt haben die Entwickler zwei Fehler, die das Umgehen der Same-Origin-Richtlinie erlauben. Einer davon steckt in DOM, der andere in der Schnittstelle zwischen der Browserengine Blink und der JavaScript-Engine V8. Als „High“ stuft Google zudem einen Pufferüberlauf in V8 ein. Den Entdeckern der fünf Schwachstellen zahlt Google eine Belohnung von 20.337 Dollar. Davon gehen 15.500 Dollar an den Sicherheitsforscher Mariusz Mlynski, der zwei Lücken gemeldet hat. Weitere 3000 Dollar überweist Google an Choongwoo Han und 1337 Dollar an einen nicht näher genannten Nutzer. Nach Installation des Updates sollte auch die neue Version 21.0.0.242 des Flash-Plug-ins vorhanden sein. Dabei handelt es sich um das gestern von Adobe angekündigte Update, das unter anderem einen Fix für eine Zero-Day-Lücke enthält. Microsoft verteilt den Patch schon seit gestern an Nutzer von Internet Explorer 11 für Windows 8 und Windows 10 sowie Edge für Windows 10. Adobe selbst hat die Aktualisierung für heute angekündigt. Microsoft listet in seinem Bulletin für Flash Player insgesamt 24 Schwachstellen – Adobe hat zur Anzahl der zu beseitigten Anfälligkeiten noch keine Angaben gemacht. Die Final von Chrome 50 hatte Google Mitte April freigegeben. Sie brachte bereits Patches für 20 Sicherheitslöcher. Vor rund zwei Wochen folgte dann ein weiteres Sicherheitsupdate mit Fixes für 9 Anfälligkeiten. Nutzer, die Chrome schon installiert haben, erhalten die neue Version automatisch. Sie kann aber auch von der Google-Website geladen werden. Da häufig Browser-Plug-Ins wie Flash, Silverlight, PDF oder Java von Hackern für Angriffe genutzt werden, sollten Anwender auf diese entweder komplett verzichten oder sie so konfigurieren, dass sie nicht automatisch Inhalte abspielen, sondern erst die Zustimmung des Anwenders einholen. Dieses als „Click-To-Play“ bekannte Feature bieten unter anderen Firefox und Chrome. [Quelle: zdnet.de]

Kommentar verfassen