Google Chrome
Sicherheits-Update für den Browser
07.05.2009
Google schließt mit einem Sicherheits-Update zwei Lücken seines Browsers "Chrome".
Das neue Update soll zwei, erst kürzlich bekannt gewordene, Sicherheitslücken schließen. Dies ist bereits das zweite Update innerhalb der letzten zwei Wochen. Bei dem vorhergegangen Update wurden gleich mehrere kritische Lücken geschlossen.
Lücke 1
Der erste Mangel tritt beim Bearbeiten von
Bitmap-Dateien (.bmp) aus dem Render-Prozess auf. So können Hacker durch
falsche Angaben zur Pixel-Menge vorhandenen Speicher überschreiben. Im
Anschluss daran können wie Codes in die manipulierten Dateien einschleusen
und diese dann über den Anwender (ohne dessen Wissen) starten. Laut Google
ist die Gefahr dieser Manipulation nicht sehr groß, da es sich dabei
ausschließlich um Daten aus dem Render-Prozess handelt. Darum müssten Hacker
zuerst den Render-Prozess knacken um überhaupt an die Daten zu kommen - da
es hier aber keine bekannte Lücke gibt, wäre dies eine sehr schwierige
Aufgabe.
Lücke 2
Dieser Mangel befindet sich in der
Google-Grafikbibliothek "Skia 2D". Laut Google können Hacker durch
einen Fehler bei der Überprüfung von Integer-Multiplikationen einen
Integer-Overflow herbeiführen, der das Programm oder den Computer zum
Absturz bringen kann. Zudem können sich die Hacker Zugang zur Chrome-Sandbox
verschaffen und in dieser selbstständig Codes ausführen. Diese Lücke wird
von Google als schwerwiegend eingestuft, da ein Besuch einer manipulierten
JavaScript-Seite ausreicht, um den Hacker einen Angriff zu ermöglichen.
Das Sicherheits-Update 1.0.154.64 schließt diese Lücken. Da das Update
automatisch heruntergeladen und selbstständig installiert wird, müssen die "Chrome"-User
nach dem erfolgten Update nur den Computer neu starten, um geschützt zu sein.
Da
das Google-Handy-Betriebssystem "Android" ebenfalls die
Grafikbibliothek "Skia" verwdendet, wäre es interessant zu wissen,
ob die zweite Lücke auch bei den Google-Handys auftreten kann. Darüber
machte Google bis jetzt jedoch noch keine Angaben.