Google Chrome

Sicherheits-Update für den Browser

07.05.2009

Google schließt mit einem Sicherheits-Update zwei Lücken seines Browsers "Chrome".

Zur Vollversion des Artikels
© AP
Zur Vollversion des Artikels

Das neue Update soll zwei, erst kürzlich bekannt gewordene, Sicherheitslücken schließen. Dies ist bereits das zweite Update innerhalb der letzten zwei Wochen. Bei dem vorhergegangen Update wurden gleich mehrere kritische Lücken geschlossen.

Lücke 1
Der erste Mangel tritt beim Bearbeiten von Bitmap-Dateien (.bmp) aus dem Render-Prozess auf. So können Hacker durch falsche Angaben zur Pixel-Menge vorhandenen Speicher überschreiben. Im Anschluss daran können wie Codes in die manipulierten Dateien einschleusen und diese dann über den Anwender (ohne dessen Wissen) starten. Laut Google ist die Gefahr dieser Manipulation nicht sehr groß, da es sich dabei ausschließlich um Daten aus dem Render-Prozess handelt. Darum müssten Hacker zuerst den Render-Prozess knacken um überhaupt an die Daten zu kommen - da es hier aber keine bekannte Lücke gibt, wäre dies eine sehr schwierige Aufgabe.

Lücke 2
Dieser Mangel befindet sich in der Google-Grafikbibliothek "Skia 2D". Laut Google können Hacker durch einen Fehler bei der Überprüfung von Integer-Multiplikationen einen Integer-Overflow herbeiführen, der das Programm oder den Computer zum Absturz bringen kann. Zudem können sich die Hacker Zugang zur Chrome-Sandbox verschaffen und in dieser selbstständig Codes ausführen. Diese Lücke wird von Google als schwerwiegend eingestuft, da ein Besuch einer manipulierten JavaScript-Seite ausreicht, um den Hacker einen Angriff zu ermöglichen.

Das Sicherheits-Update 1.0.154.64 schließt diese Lücken. Da das Update automatisch heruntergeladen und selbstständig installiert wird, müssen die "Chrome"-User nach dem erfolgten Update nur den Computer neu starten, um geschützt zu sein.

Da das Google-Handy-Betriebssystem "Android" ebenfalls die Grafikbibliothek "Skia" verwdendet, wäre es interessant zu wissen, ob die zweite Lücke auch bei den Google-Handys auftreten kann. Darüber machte Google bis jetzt jedoch noch keine Angaben.

Zur Vollversion des Artikels
Weitere Artikel