Google stopft weitere Löcher

Google hat die neue Chrome-Version 10.0.648.204 veröffentlicht. Seit dem Hacker-Wettbewerb Pwn2own vor zwei Wochen ist dies bereits das vierte Update für Chrome 10. Die aktuellen Flicken betreffen nur den «stable»-Zweig – nicht die Beta-Tester, die bereits bei Chrome 11 angekommen sind.  In der neuen Version haben die Entwickler sechs Sicherheitslücken geschlossen, die alle mit der Risikostufe «hoch» gekennzeichnet sind. Es handelt sich um Puffer-Überläufe und andere Speicherfehler. Angreifer könnten so Code einschleusen. Ein Ausbruch aus der Chrome-Sandbox ist jedoch nicht möglich, dann würde Google die Schwachstelle als kritisch einstufen.  Google hat den Entdeckern dieser Schwachstellen Prämien zwischen 500 und 2000 US-Dollar zugesprochen, insgesamt 8500 Dollar. Der Löwenanteil von 7000 Dollar geht an Sergey Glazunov, der allein von seinen gefundenen Chrome-Lücken gut leben könnte. Mit den vier neuen Lücken kommt er auf insgesamt knapp 40'000 Dollar in einem Jahr und ist damit einsamer Spitzenreiter.