[English]Google hat zum 1. Februar 2022 Updates des Google Chrome 98.0.4758.80/81/82 für Windows sowie 98.0.4758.80 für Mac und Linux freigegeben. Der Android Browser wurde auf die Version 98.0.4758.87 und die iOS-Version auf die 98.0.4758.85 aktualisiert. Die Updates schließen 27 Schwachstellen. Einige Schwachstellen sind mit High klassifiziert. Hier ein kurzer Überblick.
Im Google-Blog gibt es diesen Beitrag mit der kurzen Beschreibung der im Chrome 98.0.4758.8x für den Desktop geschlossenen Schwachstellen.
- [$20000][1284584] High CVE-2022-0452: Use after free in Safe Browsing. Reported by avaue at S.S.L. on 2022-01-05
- [$20000][1284916] High CVE-2022-0453: Use after free in Reader Mode. Reported by Rong Jian of VRI on 2022-01-06
- [$12000][1287962] High CVE-2022-0454: Heap buffer overflow in ANGLE. Reported by Seong-Hwan Park (SeHwa) on 2022-01-17
- [$7500][1270593] High CVE-2022-0455: Inappropriate implementation in Full Screen Mode. Reported by Irvan Kurniawan (sourc7) on 2021-11-16
- [$7000][1289523] High CVE-2022-0456: Use after free in Web Search. Reported by Zhihua Yao of KunLun Lab on 2022-01-21
- [$5000][1274445] High CVE-2022-0457: Type Confusion in V8. Reported by rax of the Group0x58 on 2021-11-29
- [$1000][1267060] High CVE-2022-0458: Use after free in Thumbnail Tab Strip. Reported by Anonymous on 2021-11-05
- [$TBD][1244205] High CVE-2022-0459: Use after free in Screen Capture. Reported by raven (@raid_akame) on 2021-08-28
- [$7500][1250227] Medium CVE-2022-0460: Use after free in Window Dialog. Reported by 0x74960 on 2021-09-16
- [$3000][1256823] Medium CVE-2022-0461: Policy bypass in COOP. Reported by NDevTK on 2021-10-05
- [$2000][1270470] Medium CVE-2022-0462: Inappropriate implementation in Scroll. Reported by Youssef Sammouda on 2021-11-16
- [$1000][1268240] Medium CVE-2022-0463: Use after free in Accessibility. Reported by Zhihua Yao of KunLun Lab on 2021-11-09
- [$1000][1270095] Medium CVE-2022-0464: Use after free in Accessibility. Reported by Zhihua Yao of KunLun Lab on 2021-11-14
- [$1000][1281941] Medium CVE-2022-0465: Use after free in Extensions. Reported by Samet Bekmezci @sametbekmezci on 2021-12-22
- [$TBD][1115460] Medium CVE-2022-0466: Inappropriate implementation in Extensions Platform. Reported by David Erceg on 2020-08-12
- [$TBD][1239496] Medium CVE-2022-0467: Inappropriate implementation in Pointer Lock. Reported by Alesandro Ortiz on 2021-08-13
- [$TBD][1252716] Medium CVE-2022-0468: Use after free in Payments. Reported by Krace on 2021-09-24
- [$TBD][1279531] Medium CVE-2022-0469: Use after free in Cast. Reported by Thomas Orlita on 2021-12-14
- [$TBD][1269225] Low CVE-2022-0470: Out of bounds memory access in V8. Reported by Looben Yang on 2021-11-11
Hinzu kommen verschiedene Fixes, die Google intern bei Audits gefunden hat. Details zu den Schwachstellen werden aber keine veröffentlicht, bis der Großteil der Nutzer umgestiegen ist. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen.
ungoogled Chromium 98.0.4758.80
github[.]com/macchrome/winchrome/releases/download/v98.0.4758.80-r950365-Win64/ungoogled-chromium-98.0.4758.80-1_Win64.7z
Wir hatten das Thema Chrome ja gerade erst.
Habe vorgestern meine 14 Terminal-Server neu ausgerollt, mit der neuen Version des 2022-01 CU und neuen Browsern. Jetzt wieder SIEBENUNDZWANZIG Schwachstellen?
Als wenn man nichts anders zu tun hätte, als Patchen.
Nur noch zum schreien!
Natürlich ist das ärgerlich. Ich habe hier, auf borncity, eben einen groben (und subjektiven) Vergleich der Updates zwischen Firefox und Chrome gemacht. Mein Ergebnis ist, dass Google seinen Browser intensiver als die Mozilla-Stiftung pflegt. Das sagt sicher nichts über die Qualität der Sicherheitslücken aus aber suggeriert mir von Googles Seite mehr Aufwand.
Nicht unbedingt, Mozilla fasst seine Updates zu Patchdays zusammen und hält sich da auch dran, falls nichts gravierendes schnellstens gestopft werden muss. Das finde ich angenehmer und planbarer. Ich kann Sascha nachfühlen, da ist man manchmal einfach nur genervt, bei Terminalservern (und virtuellen Desktops) ist das Durchpatchen ziemlich aufwändig.
Im Berufsumfeld kommt dieses Verhalten den Admins natürlich entgegen. Wiederum besteht beim FF latent etwas größere Gefahr. Sie muss nicht groß sein aber sie ist dann da.
Aber Saschas Beitrag liest sich so, als gebe es keine Möglichkeit, Googles Updates zeitlich zu steuern, zB erst in 14 Tagen laufen zu lassen.
Ich kenne den Chrome nicht. Ich habe den nicht installiert, und diesen Vormittag verbrachte ich mir Durchstöbern verschiedenster Tests und Berichte. Echt „cringe“, wie unterschiedlich die Ergebnisse ausfallen.
Warum eigentlich 3 aktuellen Versionen – 98.0.4758.80/81/82 ???
laut dem Branch-Log wurden nur die Versionen seit .80 hochgezählt:
https://chromium.googlesource.com/chromium/src/+log/97.0.4692.99..98.0.4758.82
ich sehe ja bei uns den Aufwand in der Branchverwaltung und ich kann nur spekulieren, dass jemand versehentlich zu oft auf den Branch-Button geklickt hat (dicke Finger, Tastatur prellt, o.ä.) Oder die Branches sollen tatsächlich parallel weiterentwickelt werden bis sie irgendwann wieder zusammenlaufen. bin ja gespannt ob Microsoft im MSEgde das mitspielt…
Edge 98 ist jetzt auch da.
ungoogled Chromium 98.0.4758.80 für Linux ist eben auch erschienen:
github[.]com/macchrome/linchrome/releases/download/v98.0.4758.80-r950365-portable-ungoogled-Lin64/ungoogled-chromium_98.0.4758.80_1.vaapi_linux.tar.xz