Alert! Google schließt kritische Lücke in Chrome 2

Ein Fehler in Webkit lässt sich ausnutzen, um Besuchern einer Webseite Schadcode unterzuschieben. Ursache des Problems ist ein Fehler im Speichermanagement von Webkit im Zusammenhang mit dem rekursiven Aufruf bestimmter DOM-Event-Handler. Der Schadcode wird von Chrome allerdings nur in einer Sandbox ausgeführt, was die Möglichkeiten eines Angreifers stark limitiert. Dennoch stuft Google das Risiko der Lücke als hoch ein.

Der Hersteller hat das Sicherheits-Update 2.0.172.31 zur Verfügung gestellt, das die Lücke schließen soll. Apple hat den Fehler in seinem ebenfalls auf Webkit beruhenden Browser Safari am 8. Juni mit Version 4 behoben.

Darüber hinaus beseitigen die Updates eine Schwachstelle, mit der eine Webseite beim Ziehen (Drag) von Inhalten über das Fenster (ohne den Inhalt fallenzulassen (DRAG)) den Inhalt auslesen kann. Die Updates für Chrome werden über die automatische Update-Funktion ohne weitere Nutzerinteraktion heruntergeladen und installiert. Sie sind nach einem Neustart wirksam.

Bislang haben weder Google noch Apple angegeben, ab welcher Webkit-Version der Fehler behoben ist. In aktuellen Nightly-Builds sollten die Problem aber nicht mehr zu finden sein. Da auch diverse andere Browser und Systeme auf Webkit aufsetzen, dürften dort ebenfalls in Kürze Updates anstehen.

Siehe dazu auch:

• Stable update: 2 WebKit security fixes, Bericht von Google
• Apple veröffentlicht Webbrowser Safari 4
• Google gibt Webbrowser Chrome 2.0 frei
• Studie: Stille Updates erhöhen Sicherheit

(Daniel Bachfeld) / (dab)