Google schließt Lücken in Chrome

Das Update nimmt bösartigen Webseiten unter anderem die Möglichkeit, ungefragt Dateien auf dem System abzulegen, die beim späteren Öffnen zum Start von JavaScript-Code führen können.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 26 Beiträge
Von
  • Daniel Bachfeld

Google hat das Sicherheits-Update 3.0.195.32 für seinen Browser Chrome veröffentlicht, das zwei Sicherheitslücken behebt. So fehlten bislang in der Liste gefährlicher Dateitypen die Endungen SVG, MHT und XML, bei denen Chrome den Anwender vor dem automatischen Download warnt. Auf diese Weise ist es beispielsweise möglich, dass eine Webseite heimlich eine MHTML-Datei auf den Rechner eines Opfers ablegt.

Öffnet der Anwender diese MHT-Datei später unbedarft, so führt unter Windows der Internet Explorer darin enthaltenes JavaScript im lokalen Kontext aus, also mit Zugriff auf lokale Dateien. Auf dieser Weise könnte ein Angreifer laut Bericht auf Inhalte zugreifen und diese an seinen Webserver senden. Der Entdecker der Lücke hat in seinem Bericht dazu Links veröffentlicht, die das Problem demonstrieren sollen. In einem kurzen Test der heise-Security-Redaktion versagte der Test jedoch aufgrund der Sicherheitseinstellungen des Internet Explorers.

Zudem schließt das Update eine Schwachstelle in der Gears SQL API, durch die eine Webseite die SQL-Metadata durcheinanderbringen und somit einen Speicherfehler verursachen kann.

Siehe dazu auch:

(dab)