Google hat mit der aktuellen Ausgabe Chrome 81.0.4044.92 insgesamt 32 Sicherheitslücken in seinem Browser geschlossen. Diese neue Version steht für Linux, macOS und Windows zum Download bereit. Außerdem ist auch eine abgesicherte Ausgabe von Chromium erschienen.
Wer Chrome benutzt, sollte die neue Version umgehend installieren. Normalerweise passiert das beispielsweise unter macOS und Windows automatisch. Um die aktuell auf dem eigenen Rechner installierte Version zu prüfen, klickt man oben rechts auf die drei Punkte (Einstellungen) und dann auf „Hilfe“ und „Über Google Chrome“. Wenn die Version noch nicht auf dem aktuellen Stand ist, stößt man hier auch die manuelle Aktualisierung an.
Neu bei Mixed Content und TLS
versucht Chrome 81 versucht standardmäßig alle HTTP-Inhalte über eine gesicherte HTTPS-Verbindung zu laden. geht das nicht, stellt der Browser beispielsweise Bilder einer Website nicht dar.
Normalerweise sollte die Unterstützung der schon lange als unsicher geltenden Verschlüsselungsprotokolle TLS 1.0/1.1 aus Chrome 81 verschwinden. Das wurde einer Meldung von Google nach nun auf Chrome 84 verschoben. Auch die Entwickler von Edge und Firefox haben die Streichung der Unterstützung noch einmalverschoben.
TLS 1.0/1.1 gilt deshalb als unsicher, weil beide Protokolle unter anderem auf die gebrochenen Verfahren MD5 und SHA-1 setzen. Damit entsprechen TLS 1.0 und TLS 1.1 nicht mehr dem Payment Card Industry Data Security Standard (PCI-DSS). Dieser Standard ist für Internetseiten verpflichtend, die Bezahlung via Kreditkarten anbieten.
Admins von Webseiten sollten spätestens jetzt dafür sorgen, dass ihre Seiten zumindest TLS 1.2 unterstützen.