[English]Die Google Entwickler haben den Chrome-Browser zum 16. Februar 2020 in der Desktop-Version für Linux, macOS und Windows auf die Version 88.0.4324.182 aktualisiert. Dieses Sicherheitsupdate fixt 106 Schwachstellen in den älteren Browserversionen.
Anzeige
Mir ist die Info auf verschiedenen Webseiten (u.a. hier) unter die Augen gekommen. Im Google-Blog gibt es diesen Beitrag mit einer Liste der im Chrome 88.0.4324.182 für den Desktop geschlossenen Schwachstellen. Hier einige hervorgehobene Schwachstellen, die beseitigt wurden.
- [$20000][1138143] High CVE-2021-21149: Stack overflow in Data Transfer. Reported by Ryoya Tsukasaki on 2020-10-14
- [$20000][1172192] High CVE-2021-21150: Use after free in Downloads. Reported by Woojin Oh(@pwn_expoit) of STEALIEN on 2021-01-29
- [$15000][1165624] High CVE-2021-21151: Use after free in Payments. Reported by Khalil Zhani on 2021-01-12
- [$5000][1166504] High CVE-2021-21152: Heap buffer overflow in Media. Reported by Anonymous on 2021-01-14
- [$1000][1155974] High CVE-2021-21153: Stack overflow in GPU Process. Reported by Jan Ruge of ERNW GmbH on 2020-12-06
- [$TBD][1173269] High CVE-2021-21154: Heap buffer overflow in Tab Strip . Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-02-01
- [$TBD][1175500] High CVE-2021-21155: Heap buffer overflow in Tab Strip . Reported by Khalil Zhani on 2021-02-07
- [$TBD][1177341] High CVE-2021-21156: Heap buffer overflow in V8. Reported by Sergei Glazunov of Google Project Zero on 2021-02-11
- [$TBD][1170657] Medium CVE-2021-21157: Use after free in Web Sockets. Reported by Anonymous on 2021-01-26
Ein Teil der Schwachstellen ist mit der Einstufung High versehen. Weitere Probleme wurden intern durch Audits und Fuzzing aufgespürt und behoben. Der Browser sollte also zügig aktualisiert werden. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können diese Build aber auch hier herunterladen.
Anzeige
Der Edge hat Heute auch sein Update auf die "Version 88.0.705.74 (Offizielles Build) (64-Bit)" erhalten.
Hoffe mal da ist das hier aufgeführte, auch alles drin.
siehe
https://msrc.microsoft.com/update-guide
Oh Danke
Mein Senf dazu in Edge 88.0.705.74 als Sicherheitsupdate
Statt Chrome sollte man besser den ungoogled Chromium von marmaduke, "Archive" Version benutzen, weil der keine Daten an Google sendet (ID rausgepatcht, no-sync).
Das normale Chromium sendet immer noch bei jedem Start eine eindeutige ID an Google und synchronisiert die History mit google-servern.
Ist auch aktuell wie Google-Chrome und damit aktueller als Iron oder Iridium.
Die Marmaduke-Version basiert auf dem ungoogled-Chromium von "Eloston", ist aber aktueller.
Weil es aber wirklich "ungoogled" ist, kann man über den Chrome-Webstore keine Erweiterungen mehr installieren.
Das ist auch ein Unterschied zu Iron oder Iridium, wo der Chrome-Webstore noch funktioniert, was ein Beleg dafür ist, dass diese beiden Browser nicht vollständig ungoogled sind.
Man sollte sich also vorher die Erweiterungen mit einem normalen Chromium installieren und dann den den Chromium-Ordner mit dem Archivinhalt des ungoogled-Chromium überschreiben oder die Erweiterungen manuell in den passenden Ordner kopieren.
Die Erweiterungen befinden sich wie üblich da:
c:\Users\USERNAME\AppData\Local\Chromium\User Data\Default\Extensions
Downloadliste der diversen Varianten des ungoogled-Chromium:
h**ps://chromium.woolyss.com/
(da liegt auch der Sourcecode:)
h**ps://github.com/macchrome/winchrome/releases/tag/v88.0.4324.182-r827102-Win64
konkret für Win64, 7zip-Archiv:
h**ps://github.com/macchrome/winchrome/releases/download/v88.0.4324.182-r827102-Win64/ungoogled-chromium-88.0.4324.182-1_Win64.7z
Einfach das Archiv auspacken und chrome.exe starten.
Es gibt aber keine automatische Updatefunktion, also muss man jedes mal selber das aktuelle Archiv runterladen, auspacken und den vorherigen Ordner überschreiben.
Außerdem sollte man die Suchmaschine ändern zu startpage, damit google nicht zuordnen kann, wer was sucht.
Als Startpage-Suchmaschinen-Suchstring kann man das benutzen:
h**ps://www.startpage.com/do/dsearch?query=%s
Nachteile sehe ich keine, aber die Anonymität ist besser und die Angriffsfläche kleiner.
Der ungoogled-Chromium funktioniert auch in Sandboxie problemlos.
OpenSUSE hat sogar ein eigenes Repository für ungoogled Chromium, das regelmäßig mittels dem Open Building System (OBS) aktualisiert wird und das Repository kann man auch mit ubuntu oder Linux Mint benutzen.
das geht mit Linux Mint 20 dann so:
sudo echo 'deb h**p://download.opensuse.org/repositories/home:/ungoogled_chromium/Ubuntu_Focal/ /' | sudo tee /etc/apt/sources.list.d/home:ungoogled_chromium.list
sudo wget -nv h**ps://download.opensuse.org/repositories/home:ungoogled_chromium/Ubuntu_Focal/Release.key -O – | sudo apt-key add –
sudo apt update
sudo apt remove –purge chromium-browser
sudo apt remove –purge chromium
sudo apt install ungoogled-chromium
(jeweils die beiden Sternchen durch tt ersetzen h**p >- http)
Danke für die Ergänzung – der Ungoogled ist hier seit langem täglich im Einsatz. Wobei ich da wieder Google als Suchmaschine eingestellt habe, weil ich bei den häufigen Recherchen einfach eine schnelle Möglichkeit zur Suche per Addressleiste benötige, die mich auch auf die relevanten Seiten bringt (ist bei den Alternativen leider oft nicht der Fall).
Hier im Blog thematisiere ich allerdings aus Umfangs-/Aufwandsgründen nur die Updates für Chrome und Edge.
Oder einfach Firefox nehmen, der funkt auch nicht zu Google…
Der Firefox hat immer noch kein Filewriter-API, daher kann er die Zertifikatdatei von Elster nicht speichern und mit der MEGA-Cloud gibt es auch Probleme deswegen.
Außerdem ist die interne Sandbox bei Chromium besser als die von Firefox.