Google heeft gisterenavond Chrome 68 uitgebracht die 42 kwetsbaarheden verhelpt, alle http-sites als niet veilig beschouwt en verschillende beveiligingsmaatregelen doorvoert. Via de beveiligingslekken had een aanvaller in het ergste geval data van andere websites kunnen stelen of aanpassen.
Verder blokkeert Chrome nu het ongewenst doorsturen naar websites. Het gaat dan om content die zich in iframes bevindt. Voorheen was het via dergelijke iframes mogelijk om zonder interactie van gebruikers een andere website te laden. De functionaliteit wordt door allerlei soorten websites gebruikt, waaronder single-sign-on-providers en betalingsverwerkers.
Volgens Google wordt er echter ook veel misbruik van gemaakt, waarbij gebruikers zonder hun medeweten of toestemming naar ongewenste bestemmingen worden doorgestuurd. Met Chrome 68 zal content in een iframe niet zomaar meer een andere website kunnen laden. Dit is alleen nog mogelijk met toestemming van de gebruiker. Zodra Chrome het gedrag waarneemt, net als bij een pop-up, krijgt de gebruiker de optie om de redirect toe te staan.
Om crashes te voorkomen van de browser te voorkomen blokkeert Chrome 68 het injecteren van code door third-party software. De maatregel geldt voor de Windows-versie van Chrome. Volgens Google heeft tweederde van de Chrome-gebruikers op Windows software geïnstalleerd die interacties met Chrome heeft, zoals anti-virussoftware. Gebruikers met software die code in Chrome injecteert hebben 15 procent meer kans om met crashes te maken krijgen.
Google stelt dat er alternatieven zijn voor het injecteren van code binnen Chrome-processen. Chrome 68 blokkeert daarom het injecteren van code door third-party software in de Windows-versie van Chrome. In het geval Chrome hierdoor niet kan starten, zal de browser zichzelf herstarten en het injecteren van de code toelaten, maar gebruikers een waarschuwing laten zien waarin het verwijderen van de verantwoordelijke software wordt uitgelegd. Met de lancering van Chrome 72 in januari 2019 zal het injecteren van code geheel worden geblokkeerd.
Gisteren verscheen al het bericht dat Chrome 68 alle http-sites als 'niet veilig' beschouwt. Google adviseert webmasters van http-sites naar https te migreren. Daarvoor verwijst het naar deze migratiehandleiding. Met de lancering van Chrome 69 zal bij https-sites de melding "veilig" verdwijnen. Uiteindelijk zal Chrome bij https-sites ook het slotje niet meer weergeven. Updaten naar Chrome 68.0.3440.75 zal op de meeste systemen automatisch gebeuren.
Deze posting is gelocked. Reageren is niet meer mogelijk.