Chrome weigert verouderde plug-ins

Chrome weigert binnenkort om verouderde plug-ins te draaien. Dit moet voorkomen dat malware binnenkomt via gaten in oude versies van plug-ins.

In een blogpost op het Chromium-blog stellen drie leden van het Google Security Team dat er steeds meer aanvallen komen op plug-ins. Volgens het drietal is dat vooral te wijten aan de sterkere beveiliging van de browsers, die aan isolatie (sandboxing) van processen doen (IE en Chrome) en automatisch worden geüpdate (Firefox in enige mate en Chrome volautomatisch).

Blokkeren en sandboxen

Om de beveiliging te verbeteren heeft Google al aangekondigd dat het Flash Player met zijn browser Chrome gaat bundelen. Daardoor wordt die veelgeplaagde plug-in van Adobe voortaan automatisch meegenomen in de updates voor Chrome. Maar op de middellange termijn staat er meer op stapel. Zo zal Chrome weigeren om verouderde plug-ins te draaien. De browser zal de gebruiker dan wel assisteren bij het updaten van die geweigerde plug-ins.

Met deze zet volgt Google het voorbeeld van Mozilla, dat voor zijn browser Firefox ook controleert of plug-ins verouderd zijn. Google gaat met het weigeren te draaien echter een stap verder. Met Chrome kun je nu al een Mozilla-pagina bezoeken die aangeeft of een aantal populaire plug-ins up-to-date is of niet.

Waarschuwing en vraag

Een andere voorzorgsmaatregel die Google neemt, is dat de browser een waarschuwing gaat geven als er een plug-in wordt opgestart die al lang niet is gebruikt. Als zo’n plug-in ineens wordt aangesproken zal Chrome dat verdacht vinden en aan de gebruiker vragen of het goed is dat hij wordt opgestart.

Tot slot wordt er een nieuwe plug-in API gelanceerd, die het makkelijk moet maken om plug-ins in een apart geheugendeel te draaien (in een zogeheten sandbox).

‘IE6 is veiliger’

Al deze maatregelen moeten Chrome veiliger maken dan het nu is. Het beveiligingswerk dat Google verricht aan Chrome maakt overigens geen enkele indruk op de Amerikaanse bank Chase. Vanaf 18 juli zal de site van de bank alleen nog Internet Explorer 6.0 en hoger, Firefox 2.0 en hoger en - alleen voor de Mac - Safari 3.0 en hoger ondersteunen. Andere browsers worden volgens de FAQ niet ondersteund omdat ze niet populair genoeg zijn, of omdat ze niet veilig zijn.

De eerste reden kan niet de aanleiding zijn om Chrome buiten te sluiten, aangezien Chrome een marktaandeel heeft van 7 procent. Dus moet het wel de veiligheid zijn waar de bank zich zorgen over maakt. En daarmee stelt Chase impliciet dat IE6 veiliger is dan Chrome. En dat is een aanname waar zelfs Microsoft verbaasd over zal zijn, die gebruikers juist van het onveilige IE6 af wil hebben, maar dan naar het eigen IE8.

Bron: Techworld.nl.

Deel dit artikel
Voeg toe aan favorieten