Der Webbrowser Chrome ist über mehrere Wege attackierbar. Stimmen die Voraussetzungen, könnte ein Angreifer Schadcode ausführen und so die Kontrolle übernehmen.

Davon sind Linux, macOS und Windows betroffen. In der Ausgabe 77.0.3865.75 haben die Entwickler den Angaben aus einem Blog-Beitrag entsprechend 52 Sicherheitsprobleme aus der Welt geschafft. Auch das freie Software-Projekt Chromium profitiert von den Sicherheitsfixes.

Remote Code Execution

Zu möglichen Angriffsszenarien schweigt Google. So bekommen potenzielle Angreifer kaum Informationen und Nutzer können sich länger in Sicherheit wiegen, um den Browser zu aktualisieren. In den meisten Fällen könnten Angreifer Speicherfehler auslösen und so eigenen Code auf Computer bringen und ausführen.

Eine Sicherheitslücke (CVE-2019-5870) ist mit dem Bedrohungsgrad "kritisch" eingestuft. Von acht Schwachstellen geht ein hohes Risiko aus. In diesen Fällen ist davon auszugehen, dass Angreifer die Lücken aus der Ferne und ohne Authentifizierung ausnutzen können.

Darstellung von EV-Zertifikaten

Chrome zeigt nun in der Adressleiste nicht mehr den Firmennamen auf Websites an, die Extended-Validation-Zertifikate (EV) einsetzen. Dabei handelt es sich um eine spezielle Form von TLS-Zertifikaten, die mehr Vertrauen wecken sollen.

Chrome zeigt nun auf Websites mit EV-Zertifikaten den Namen der Firma, für die das Zertifikat ausgestellt wurde, nicht mehr in der Adressleisten an.

Neben der obligatorischen Transportverschlüsselung wird beim Einsatz von EV-Zertifikaten in der Adressleiste neben dem grünen Schloss noch der Name der Firma angezeigt, für die das Zertifikat ausgestellt wurde. Diese Info sieht man in Chrome jetzt erst, wenn man auf der Schloss klickt.

EV-Zertifikate sind nicht nur aufwändiger zu beantragen, sie kosten auch mehr. Ob sie wirklich mehr Sicherheit suggerieren, sei dahingestellt. Mittlerweile wenden sich immer mehr Browser-Hersteller von der gewohnten Darstellung in der Adressleiste ab. So bereits geschehen beispielsweise bei Apples Safari seit iOS 12. Bei Firefox soll das ab Version 70 der Fall sein.



[UPDATE, 12.09.2019 10:10 Uhr]

Info zu Darstellung von Websites mit EV-Zertifikat im Fließtext ergänzt. (des)