Chrome 81 mit Sicherheitsfixes verfügbar

[English]Die Google-Entwickler haben zum 7. März 2020 den Chrome 81 freigegeben. Das Browser-Update schließt insgesamt 32 Sicherheitslücken und kommt mit der Web NFC API.


Anzeige

Es gab bereits den Kommentar hier (danke) – und Bleeping Computer hat diesen Artikel dazu veröffentlicht.

Änderungen und Neuerungen in Chrome 81

Die Änderungen in Chrome 81 wurden von den Entwicklern für den Desktop in diesem Blog-Beitrag angekündigt. Chrome 81.0.4044.92 enthält eine Reihe von Korrekturen und Verbesserungen – eine Liste der Änderungen ist im Change Log verfügbar.

Die Chrome Version 82 wird wegen der COVID-19-Krise übersprungen. Im Mai 2020 soll Chrome 83 kommen.

Der Chrome-Browser bringt in der Version 81.0.4044.92 Fixes für folgende Sicherheitslücken in den Vorgängerversionen:

  • [$7500][1019161] High CVE-2020-6454: Use after free in extensions. Reported by Leecraso and Guang Gong of Alpha Lab, Qihoo 360 on 2019-10-29
  • [$5000][1043446] High CVE-2020-6423: Use after free in audio. Reported by Anonymous on 2020-01-18
  • [$3000][1059669] High CVE-2020-6455: Out of bounds read in WebSQL. Reported by Nan Wang(@eternalsakura13) and Guang Gong of Alpha Lab, Qihoo 360 on 2020-03-09
  • [$2000][1031479] Medium CVE-2020-6430: Type Confusion in V8. Reported by Avihay Cohen @ SeraphicAlgorithms on 2019-12-06
  • [$2000][1040755] Medium CVE-2020-6456: Insufficient validation of untrusted input in clipboard. Reported by Michał Bentkowski of Securitum on 2020-01-10
  • [$1000][852645] Medium CVE-2020-6431: Insufficient policy enforcement in full screen. Reported by Luan Herrera (@lbherrera_) on 2018-06-14
  • [$1000][965611] Medium CVE-2020-6432: Insufficient policy enforcement in navigations. Reported by David Erceg on 2019-05-21
  • [$1000][1043965] Medium CVE-2020-6433: Insufficient policy enforcement in extensions. Reported by David Erceg on 2020-01-21
  • [$500][1048555] Medium CVE-2020-6434: Use after free in devtools. Reported by HyungSeok Han (DaramG) of Theori on 2020-02-04
  • [$N/A][1032158] Medium CVE-2020-6435: Insufficient policy enforcement in extensions. Reported by Sergei Glazunov of Google Project Zero on 2019-12-09
  • [$TBD][1034519] Medium CVE-2020-6436: Use after free in window management. Reported by Igor Bukanov from Vivaldi on 2019-12-16
  • [$500][639173] Low CVE-2020-6437: Inappropriate implementation in WebView. Reported by Jann Horn on 2016-08-19
  • [$500][714617] Low CVE-2020-6438: Insufficient policy enforcement in extensions. Reported by Ng Yik Phang on 2017-04-24
  • [$500][868145] Low CVE-2020-6439: Insufficient policy enforcement in navigations. Reported by remkoboonstra on 2018-07-26
  • [$500][894477] Low CVE-2020-6440: Inappropriate implementation in extensions. Reported by David Erceg on 2018-10-11
  • [$500][959571] Low CVE-2020-6441: Insufficient policy enforcement in omnibox. Reported by David Erceg on 2019-05-04
  • [$500][1013906] Low CVE-2020-6442: Inappropriate implementation in cache. Reported by B@rMey on 2019-10-12
  • [$500][1040080] Low CVE-2020-6443: Insufficient data validation in developer tools. Reported by @lovasoa (Ophir LOJKINE) on 2020-01-08
  • [$N/A][922882] Low CVE-2020-6444: Uninitialized Use in WebRTC. Reported by mlfbrown on 2019-01-17
  • [$N/A][933171] Low CVE-2020-6445: Insufficient policy enforcement in trusted types. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2019-02-18
  • [$N/A][933172] Low CVE-2020-6446: Insufficient policy enforcement in trusted types. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2019-02-18
  • [$N/A][991217] Low CVE-2020-6447: Inappropriate implementation in developer tools. Reported by David Erceg on 2019-08-06
  • [$N/A][1037872] Low CVE-2020-6448: Use after free in V8. Reported by Guang Gong of Alpha Lab, Qihoo 360 on 2019-12-26

Zusätzlich erwähnen die Release-Note noch Various fixes from internal audits, fuzzing and other initiatives. Details wird Google aber aus Sicherheitsgründen nicht bekannt geben.


Anzeige

Neuerungen im Chrome 81

Bleeping Computer erwähnt hier die neue Web NFC API. Chrome 81 kann nun NFC-Tags lesen und beschreiben, wenn diese in die Nähe (5-10 cm) eines NFC-fähigen Geräts kommen. Im ersten Ansatz wird aber nur das NFC-Datenaustauschformat NDEF, ein leichtgewichtiges binäres Nachrichtenformat, unterstützt.

Chrome 81 versucht nun automatisch alle per http eingebundenen Bildinhalte einer Webseite über HTTPS zu laden und die Inhalte zu blockieren, wenn sie nicht über eine sichere Verbindung geliefert werden können. Das bedeutet, dass ein Bild, das nicht über HTTPS verfügbar ist, nicht auf der Webseite angezeigt wird.

Ebenfalls ab dieser Version gibt es Konsolenwarnungen vor Downloads, die aus sicheren Kontexten unsicher ausgeliefert werden ("Downloads mit gemischten Inhalten"). Dazu gehört zum Beispiel das Herunterladen einer Datei über HTTP, die von einer HTTPS-Site initiiert wurde. BleepingComputer hat eine PoC-Seite erstellt, die das Testen dieser Funktion ermöglicht.

Eigentlich sollten TLS 1.0 und 1.1 in Chrome 81 vollständig entfernt werden. Aufgrund der Coronavirus-Pandemie hat Google beschlossen, die Entfernung bis zu Chrome 84 zu verschieben.

Verfügbarkeit und Download

Die Chrome-Version 81 für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können es hier herunterladen.


Anzeige

Dieser Beitrag wurde unter Google Chrome, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Chrome 81 mit Sicherheitsfixes verfügbar

  1. JohnRipper sagt:

    "Die Google-Entwickler haben zum 7. März 2020 den Chrome 81 freigegeben."
    –> 7. April?

  2. Frank sagt:

    Mal so ganz allgemein, welches Rezept besser als "bei jedem Update weghauen" taugt was gegen SwReporter bzw. Software Reporter Tool?

  3. Alex sagt:

    Seit Version 81 funktioniert die Funktion "Link kopieren" bzw. "Copy to Clipboard" nicht mehr. Zu testen mit Skype z.B.:
    https://www.skype.com/de/free-conference-call/ → "Besprechung erstellen" und dann auf "Link kopieren". Es wird dann nichts in die Zwischenablage kopiert.

    • Dat Bundesferkel sagt:

      Kann ich nicht bestätigen, zumindest was die Clipboard-Funktionalität angeht. Skype wird hier nicht genutzt – evtl. liegt bei Dir eine Inkompabilität zwischen beiden Versionen vor.

  4. Dat Bundesferkel sagt:

    Seit dem 14. April ist eine aktualisierte Version von Chrome verfügbar. Otto Normal wird es wohl automatisch über die Aktualisierung erhalten.

    Enterprise-Anwender die den Google-Update deaktiviert haben (gab oft genug Szenarien, wo bestimmte Versionen einfach kaputt waren – man lernt aus Fehlern…), finden hier entsprechende Downloads: https://cloud.google.com/chrome-enterprise/browser/download/

    Eigentlich sollte man aktuelle Änderungshinweise hier finden: https://support.google.com/chrome/a/answer/7679408/

    … eigentlich. Zuletzt aktualisiert am 07. April 2020.

    Auf die Warnmeldung des Buerger-Cert kann man (wie üblich) nichts geben; Hinweis mit zwei Tagen Verspätung (und damit sind sie sogar recht flott, sonst brauchen die länger, bis sie was merken…) und folgendem Hinweis: "Google Chrome: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit Benutzerrechten". Kann korrekt sein, kann aber auch (wie üblich) einfach nur copy'n'paste sein.

    Wer die ADMX Templates nutzt: Prüft den Inhalt der ADML-Ordner (de, de-DE), falls ihr deutschsprachige Systeme einsetzt: Wie üblich fehlen da wieder Dateien, was bei den GPOs zu entsprechenden Hinweisen führt. Es hilft, sich am en-US Ordner zu bedienen – wer Chrome schon länger einsetzt, sollte auch in den de und de-DE Ordnern die Google Sprachdateien durch die neueren Englischen ersetzen, da dort neue Strings hinzugekommen sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.