Der US-amerikanische Internetgigant Google hat die finale Version von Chrome 60 zum Download im Stable Channel für Windows, Mac OS X und Linux frei gegeben. Die Version 60.0.3112.78 wartet zwar auch mit einigen neuen Funktionen auf, im Kern stopft Google aber 40 teils happige Securitylücken.
Vor allem von neun Anfälligkeiten soll ein beträchtliches Risiko ausgegangen sein. So konnten etwa Angreifer unter Umständen Schadcode einschleusen und innerhalb der Sandbox ausführen. Unter anderem etwa bei Use-after-free-Bugs in IndexedDB, der Javascript-Engine V8 und Googles Pepper Plug-in API (PPAPI).
Weitere Patches gelten der Spoofing-anfälligen Browserengine Blink sowie den Komponenten Skia und PDFium, die unter Umständen eine Remotecodeausführung zuliessen. Auch die Komponenten Omnibox, Chrome Apps und SQLite erhalten Fixes.
Den Entdeckern der Schwachstellen zahlt Google Belohnungen in Höhe mehr als 26.000 Dollar. 10.000 Dollar gehen an den Nutzer Ned Williamson, der die Details zu einem Use-after-Free-Bug in IndexedDB geliefert hat. Ein Use-after-free-Bug in PPAPI brachte Yu Zhou und Yuan Deng vom Ant-financial Light-Year Security Lab 5000 Dollar ein. Nutzer, die Chrome bereits installiert haben, erhalten die neue Version ab sofort automatisch über die Updatefunktion des Browsers.
