Fjerner flere sårbarheter fra Chrome

Google med sikkerhetsfiks til nettleseren.

Google kom i går med en oppdatert utgave av nettleseren Chrome. Den har versjonsnummeret 2.0.172.43 og inkluderer sikkerhetsfikser for å fjerne to sårbarheter og et annet problemområde i nettleseren.

Den ene sårbarheten er knyttet til Javascript-motoren V8 og tillater at spesielt utformet Javascript på en websiden kan rele ikke-autorisert minne, ved rett og slett å omgå sikkerhetssjekkene. Dette kan utnyttes til å avsløre data som koden ikke skal ha tilgang til, eller å kjøre vilkårlig kode innen Chromes beskyttede sandkasse.

Sårbarheten regnes likevel som høyst alvorlig av Google, fordi man aldri kan være helt sikker på at ingen har funnet og hemmeligholder sikkerhetshull i sandkassen.

Den andre sårbarheten som nå har blitt fjernet, dreier som at websider som benytter XML kan føre til at prosessen til fanen som siden er åpnet i, krasjer. En ondsinnet XML-last vil trolig kunne utløse et «use-after-free»-forhold, hvor det refereres til minne etter at det har blitt frittgjort. Dette kan åpne for at en angriper kan kjøre vilkårlig kode innenfor Chrome-sandkassen. Sårbarheten finnes egentlig i biblioteket libxml2, som også benyttes av mye annen programvare.

Den tredje sikkerhetsrelaterte endringen i Chrome er at nettleseren ikke lenger aksepterer SSL-sertifikater som er signer ved bruk av MD2- eller MD4-hashingalgoritmer. Nettleseren vil ikke knyttet forbindelse med nettsteder som benytter slike sertifikater. Ifølge Googles Jonathan Conradt blir slike algoritmer ansett for å være svake og kan gjøre det mulig for en angriper å forfalske et gyldig HTTPS-basert nettested.

I de fleste tilfeller vil Chrome helt automatisk installere oppdateringene. Oppdateringsprosessen kan også startes fra menyvalget «Om Google Chome».

Til toppen