Google hat beschlossen, die Komponenten, die die XML-Dokumenttransformationssprache (XSLT) unterstĂŒtzen, aus der Chromium-Browser-Engine zu entfernen. Als Grund wird der Wunsch genannt, die AngriffsflĂ€che durch die Einstellung der Verwendung der libxslt-Bibliothek zu verringern. Google ist der Ansicht, dass die UnterstĂŒtzung von XSLT 1.0 unnötige Sicherheitsrisiken birgt, da libxslt regelmĂ€Ăig SicherheitslĂŒcken aufweist (z. B. CVE-2025-7425 und CVE-2022-22834) und Wartungsprobleme hat (von Juni bis September wurde die Bibliothek nicht gewartet und es wurden keine Sicherheitsupdates bereitgestellt). Auch die Firefox- und WebKit-Projekte erwĂ€gen, die XSLT-UnterstĂŒtzung zu entfernen.
XSLT-Schwachstellen werden zunehmend fĂŒr Browserangriffe missbraucht, obwohl clientseitige XSLT-UnterstĂŒtzung derzeit weder notwendig noch weit verbreitet ist und HTML-Datenkonvertierungen mit JavaScript-APIs wie DOMParser und Fetch deutlich sicherer durchgefĂŒhrt werden können. Laut Google-Statistiken liegt der Anteil der geladenen Webseiten, die XSLT verwenden, bei 0.02 %, wĂ€hrend der Anteil der Seiten, die XSLT-Verarbeitungsanweisungen nutzen, auf 0.001 % geschĂ€tzt wird.
Ebenso wurde beschlossen, die Verwendung der libxml2-Bibliothek in Chromium einzustellen, da diese regelmĂ€Ăig SicherheitslĂŒcken und Wartungsprobleme aufweist. Chromium verwendet libxml2 zum Parsen, Serialisieren und Validieren von XML-Daten, und libxslt dient zur Implementierung der XSLTProcessor-Klasse und der XSLT-Verarbeitungsanweisungen. »).
Die UnterstĂŒtzung fĂŒr libxslt-basierte Funktionen wie die XSLTProcessor-API und Anweisungen zum Parsen von XML-Stylesheets wird in Chrome 155 (geplant fĂŒr den 17. November 2026) eingestellt. In Chrome 143 (geplant fĂŒr den 2. Dezember 2025) wird in der Webkonsole ein Hinweis auf die Einstellung der XSLTProcessor-API angezeigt. In Chrome 148 (FrĂŒhjahr 2026) wird die XSLT-UnterstĂŒtzung in den Zweigen Canary, Dev und Beta standardmĂ€Ăig deaktiviert. Die XML-Parsing-FunktionalitĂ€t bleibt erhalten, wird aber in eine neue, in Rust geschriebene Bibliothek migriert, die besonderen Wert auf Sicherheit legt.
Als Ersatz fĂŒr die im Browser integrierte XSLT-UnterstĂŒtzung wird vorgeschlagen, die XSLT-Verarbeitung an einen Drittanbieter auszulagern. Server und senden vorformatierten HTML-Inhalt an Clients. Handler, die die XML-API fĂŒr die Interaktion zwischen Client und ServerEs wird vorgeschlagen, die bisherige Vorgehensweise durch die Verwendung des JSON-Formats und die Konvertierung von JSON in HTML/CSS mittels JavaScript zu ersetzen. Weitere mögliche Alternativen sind die Saxonica JavaScript-Bibliothek mit ihrer XSLT-Implementierung, eine Polyfill-Schicht zur GewĂ€hrleistung der KompatibilitĂ€t mit bestehendem Code, die einen WASM-basierten Ersatz fĂŒr XSLTProcessor bietet, sowie ein Browser-Add-on, das das Polyfill automatisch in XML-Dokumente einfĂŒgt.
Source: opennet.ru
