[English]Google hat zum 19. Januar 2022 ein Update des Google Chrome 97.0.4692.99 für Windows, Mac und Linux (und die Version 97.0.4664.98 für Android) freigegeben. Es ist ein Update, welches 26 Schwachstellen schließt. Hier ein kurzer Überblick.
Anzeige
Im Google-Blog gibt es diesen Beitrag mit der kurzen Beschreibung der im Chrome 97.0.4692.99 für den Desktop geschlossenen Schwachstellen.
- [$NA][1284367] Critical CVE-2022-0289: Use after free in Safe browsing. Reported by Sergei Glazunov of Google Project Zero on 2022-01-05
- [$20000],[NA][1260134][1260007] High CVE-2022-0290: Use after free in Site isolation. Reported by Brendon Tiszka and Sergei Glazunov of Google Project Zero on 2021-10-15
- [$20000][1281084] High CVE-2022-0291: Inappropriate implementation in Storage. Reported by Anonymous on 2021-12-19
- [$17000][1270358] High CVE-2022-0292: Inappropriate implementation in Fenced Frames. Reported by Brendon Tiszka on 2021-11-16
- [$15000][1283371] High CVE-2022-0293: Use after free in Web packaging. Reported by Rong Jian and Guang Gong of 360 Alpha Lab on 2021-12-30
- [$10000][1273017] High CVE-2022-0294: Inappropriate implementation in Push messaging. Reported by Rong Jian and Guang Gong of 360 Alpha Lab on 2021-11-23
- [$10000][1278180] High CVE-2022-0295: Use after free in Omnibox. Reported by Weipeng Jiang (@Krace) and Guang Gong of 360 Vulnerability Research Institute on 2021-12-09
- [$7000][1283375] High CVE-2022-0296: Use after free in Printing. Reported by koocola(@alo_cook) and Guang Gong of 360 Vulnerability Research Institute on 2021-12-30
- [$5000][1274316] High CVE-2022-0297: Use after free in Vulkan. Reported by Cassidy Kim of Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. on 2021-11-28
- [$TBD][1212957] High CVE-2022-0298: Use after free in Scheduling. Reported by Yangkang (@dnpushme) of 360 ATA on 2021-05-25
- [$TBD][1275438] High CVE-2022-0300: Use after free in Text Input Method Editor. Reported by Rong Jian and Guang Gong of 360 Alpha Lab on 2021-12-01
- [$NA][1276331] High CVE-2022-0301: Heap buffer overflow in DevTools. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-12-03
- [$TBD][1278613] High CVE-2022-0302: Use after free in Omnibox. Reported by Weipeng Jiang (@Krace) and Guang Gong of 360 Vulnerability Research Institute on 2021-12-10
- [$TBD][1281979] High CVE-2022-0303: Race in GPU Watchdog. Reported by Yiğit Can YILMAZ (@yilmazcanyigit) on 2021-12-22
- [$TBD][1282118] High CVE-2022-0304: Use after free in Bookmarks. Reported by Rong Jian and Guang Gong of 360 Alpha Lab on 2021-12-22
- [$TBD][1282354] High CVE-2022-0305: Inappropriate implementation in Service Worker API. Reported by @uwu7586 on 2021-12-23
- [$NA][1283198] High CVE-2022-0306: Heap buffer overflow in PDFium. Reported by Sergei Glazunov of Google Project Zero on 2021-12-29
- [$2000][1281881] Medium CVE-2022-0307: Use after free in Optimization Guide. Reported by Samet Bekmezci @sametbekmezci on 2021-12-21
- [$2000][1282480] Medium CVE-2022-0308: Use after free in Data Transfer. Reported by @ginggilBesel on 2021-12-24
- [$TBD][1240472] Medium CVE-2022-0309: Inappropriate implementation in Autofill. Reported by Alesandro Ortiz on 2021-08-17
- [$TBD][1283805] Medium CVE-2022-0310: Heap buffer overflow in Task Manager. Reported by Samet Bekmezci @sametbekmezci on 2022-01-03
- [$TBD][1283807] Medium CVE-2022-0311: Heap buffer overflow in Task Manager. Reported by Samet Bekmezci @sametbekmezci on 2022-01-03
Hinzu kommen verschiedene Fixes, die Google intern bei Audits gefunden hat. Details zun Schwachstellen werden aber keine veröffentlicht, bis der Großteil der Nutzer umgestiegen ist. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen. (via)
Anzeige
Wenn man mal aufsummiert, wieviele Sicherheitslücken man zusammen findet, wenn man alle Security Advisort von Chrome für die letzten 12 Monate aufaddiert, das mag man sich garnicht ausmalen… Und dann noch der Edge dazu, der das ja alles automatisch mit erbt…
Die Frage ist halt ob nur so viele Sicherheitslücken gefunden werden weil so viele Leute draufschauen oder ob der Code echt nicht so gut ist. Chrome dürfte wohl eines der am meisten untersuchtesten Stücke Software der Welt sein.
Wäre mal interessant was passieren würde wenn genau so viele Leute sich mal den Firefox ansehen würden.
Ich finds toll das dadurch auch alle darauf aufbauenden Browser profitieren.
passend dazu für die weniger Eiligen:
Version 96.0.4664.174 (Offizieller Build) extended (64-Bit)
das entsprechende Edge Chrome kommt dann wieder am Samstag :-|
Es gibt heute auch ein Firefox Update auf 96.0.2
ftp[.]mozilla[.]org/pub/firefox/releases/96.0.2/win64/de/Firefox%20Setup%2096.0.2.exe
Für Debian im bookworm bzw testing Zweig gibt es Chromium nicht mehr auf normalem Weg, weil es aufgrund der zu großen Versionsunterschiede der Libraries aus den Repositories genommen wurde.
Für den Testing-Zweig gibt es auch nicht das security-Repository des stable-Zweigs.
Ich behelfe mich dann mit der portablen Version des ungoogled Chromium von macchrome (alias Marmaduke).
github[.]com/macchrome/linchrome/releases
Die aktuelle Version ist da aber noch nicht vorhanden, das dauert immer
ein par Stunden oder Tage, weil die Verbindungen zu google rausgepatcht werden und neu compiliert werden muss.
1.
Dort die Datei mit der Endung tar.xz runterladen und entpacken.
Dann ist etwas Frickelei nötig:
2.
chrome_sandbox umbenennen in
chrome-sandbox
Also Unterstrich in Minus ändern, damit Chromum weiß, dass es jetzt diese spezielle Sandbox benutzen soll und nicht etwa die Namespace-Sandbox des Kernels. Letztere Funktion ist nämlich auf vielen Linux Systemen gar nicht aktiv und man müsste noch mehr frickeln um es zu aktivieren.
3.
Zugriffsrechte der Sandbox ändern, damit da kein normaler User mehr etwas ändern kann:
sudo chmod 4755 chrome-sandbox
sudo chgrp root chrome-sandbox
4.
Chromium einmal starten mit
chrome-wrapper
Dadurch wird auch der Unterordner "Extensions" neu angelegt, wo die Erweiterungen dann reinkopiert werden können.
5. (optional, Chromium vorher wieder schließen)
Wenn man den Scriptblocker und Werbeblocker "ublock Origin" haben möchte, dann manuell runterladen, aktuell Version 1.40.8:
github[.]com/gorhill/uBlock/releases
dort die Datei:
uBlock0_1.40.8.chromium.zip
Zip auspacken und den enthaltenen Ordner
uBlock0.chromium
kopieren in den Chromium Unterordner "Extensions"
6.
Jetzt am besten den ganzen ausgepackten Chromium-Ordner nach /opt kopieren, wo alle Linux-Programme gespeichert sein sollten, die nicht aus den normalen Repositories stammen:
sudo cp -r ungoogled-chromium_97.0.4692.71_1.vaapi_linux /opt/ungoogled-chromium_97.0.4692.71_1.vaapi_linux
(Die Nummer 97.0.4692.71_1 natürlich anpassen an die aktuelle Version)
7.
Einen SymLink legen, damit man immer den selben Namen benutzen kann und nicht jedes mal die variierende Versionsnummer mitschleppen muss:
sudo ln -s /opt/ungoogled-chromium_97.0.4692.71_1.vaapi_linux/chrome-wrapper /opt/ungoogled-chromium
8.
Im Startermenü von Linux dann einen neuen Menüeintrag erzeugen und als StartBefehl eingeben:
/opt/ungoogled-chromium
(manche Desktop Umgebungen wie KDE Plasma machen das automatisch, XFCE macht es aber nicht automatisch).
Das funktioniert schon, allerdings immer noch ohne Hardwarebeschleunigung, weil sich die drei Grafikprozessor-Hersteller Intel, AMD und Nvidia bisher nicht auf eine einheitliche Schnittstelle (API) einigen konnten.
Intel benutzt VA-API und AMD und Nvidia benutzen VDPAU.
Für Hardwarebeschleunigung muss man dann noch eine libva-2.11.0 runterladen und compilieren (was auf vielen Systemen aber auch scheitert, weil wieder irgendwas fehlt).
Für AMD bzw Nvidia muss man zusätzlich noch eine Wrapper haben (libva-mesa-driver).
Ganz schöne Frickelei und absolut nicht Laientauglich, aber es funktioniert.
Die Macher des Testing-Zweiges von Debian sollten da mal etwas ändern.
In ein paar Jahren wird der testing-Zweig dann zum neuen stable -Zweig (Bullseye -> Bookworm) und dann stehen die User von Debian gänzlich ohne Chromium da.
Mit openSUSE oder Arch hat man dieses Problem nicht.
Mit dem ganzen Palaver bei Chromium ( auch Edge ) habe ich zum Glück nichts
zu tun. Der Internet Explorer 11 läuft bei mir zur vollsten Zufriedenheit und ohne
Sicherheitslücken. Für mich beginnen die Probleme, wenn der IE11 von Microsoft
kaputt gemacht wird, und ich muß einen von dem existierenden Schrott als
Browser nehmen.
Der INTERNET EXPLORER 11 erhält zum 14.05.2022 das letzte Mal (wohlmöglich) Sicherheitsaktualisierungen und fällt dann aus der Unterstützung seitens MS bzw. WINDOWS 10 heraus:
https://www.borncity.com/blog/2021/05/20/internet-explorer-11-support-in-windows-10-endet-am-15-juni-2022/
Unter WINDOWS 7 endete die offizielle Unterstützung bereits zum 14.01.2020:
https://www.borncity.com/blog/2020/01/19/windows-7-und-tschss-internet-explorer-11-supportende/
Es sei denn, man(n und frau) ist mit ESU unterwegs, da wird die Unterstützung (wahrscheinlich) mit Auslaufen von ESU zum 10.01.2023 eingestellt werden!
Edge 97.0.1072.69