Chrome 100.0.4896.60 ist da, fixt 28 Schwachstellen

[English]Google hat zum 29. März 2022 Updates des Google Chrome 100.0.4896.60 für Windows und Mac auf dem Desktop im Stable Channel freigegeben. Die neue Version bringt nur nur die 100 in der Versionsnummer, sondern fixt auch 28 Sicherheitslücken, die teilweise als hoch eingestuft werden. Zudem wurde der Android Browser auf die Version 100.0.4896.5 aktualisiert. Hier ein kurzer Überblick.


Anzeige

Chrome 100.0.4896.60

Die betreffenden Einträge finden sich im Google-Blog. Dort gibt es diesen Beitrag zum Update auf Chrome 99.0.4844.84 für Windows und Mac für den Desktop mit der kurzen Beschreibung der im Chrome-Browser  für den Desktop geschlossenen Schwachstellen. Es wurde die folgende Schwachstellen geschlossen:

[$7000][1292261] High CVE-2022-1125: Use after free in Portals. Reported by Khalil Zhani on 2022-01-29
[$5000][1291891] High CVE-2022-1127: Use after free in QR Code Generator. Reported by anonymous on 2022-01-28
[$5000][1301920] High CVE-2022-1128: Inappropriate implementation in Web Share API. Reported by Abdel Adim (@smaury92) Oisfi of Shielder on 2022-03-01
[$3000][1300253] High CVE-2022-1129: Inappropriate implementation in Full Screen Mode. Reported by Irvan Kurniawan (sourc7) on 2022-02-24
[$1000][1142269] High CVE-2022-1130: Insufficient validation of untrusted input in WebOTP. Reported by Sergey Toshin of Oversecurity Inc. on 2020-10-25
[$NA][1297404] High CVE-2022-1131: Use after free in Cast UI. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2022-02-15
[$TBD][1303410] High CVE-2022-1132: Inappropriate implementation in Virtual Keyboard. Reported by Andr.Ess on 2022-03-07
[$TBD][1305776] High CVE-2022-1133: Use after free in WebRTC. Reported by Anonymous on 2022-03-13
[$TBD][1308360] High CVE-2022-1134: Type Confusion in V8. Reported by Man Yue Mo of GitHub Security Lab on 2022-03-21
[$16000][1285601] Medium CVE-2022-1135: Use after free in Shopping Cart. Reported by Wei Yuan of MoyunSec VLab on 2022-01-09
[$7000][1280205] Medium CVE-2022-1136: Use after free in Tab Strip . Reported by Krace on 2021-12-15
[$5000][1289846] Medium CVE-2022-1137: Inappropriate implementation in Extensions. Reported by Thomas Orlita on 2022-01-22
[$2000][1246188] Medium CVE-2022-1138: Inappropriate implementation in Web Cursor. Reported by Alesandro Ortiz on 2021-09-03
[$TBD][1268541] Medium CVE-2022-1139: Inappropriate implementation in Background Fetch API. Reported by Maurice Dauer on 2021-11-10
[$TBD][1303253] Medium CVE-2022-1141: Use after free in File Manager. Reported by raven at KunLun lab on 2022-03-05
[$TBD][1303613] Medium CVE-2022-1142: Heap buffer overflow in WebUI. Reported by Leecraso and Guang Gong of 360 Alpha Lab on 2022-03-07
[$TBD][1303615] Medium CVE-2022-1143: Heap buffer overflow in WebUI. Reported by Leecraso and Guang Gong of 360 Alpha Lab on 2022-03-07
[$TBD][1304145] Medium CVE-2022-1144: Use after free in WebUI. Reported by Leecraso and Guang Gong of 360 Alpha Lab on 2022-03-08
[$TBD][1304545] Medium CVE-2022-1145: Use after free in Extensions. Reported by Yakun Zhang of Baidu Security on 2022-03-09
[$TBD][1290150] Low CVE-2022-1146: Inappropriate implementation in Resource Timing. Reported by Sohom Datta on 2022-01-23

Hinzu kommen verschiedene Fixes, die Google intern bei Audits gefunden hat. Details zu den Schwachstellen werden aber keine veröffentlicht, bis der Großteil der Nutzer umgestiegen ist.

Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Man kann den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) aktualisieren. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen.


Anzeige


Anzeige

Dieser Beitrag wurde unter Google Chrome abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Chrome 100.0.4896.60 ist da, fixt 28 Schwachstellen

  1. Matthias Schweighöfer sagt:

    Bei Google hat man so viel nicht verstanden was Versionspflege angeht. Eine Frechheit.

  2. Leedur sagt:

    Bei Google-Chrome gilt für alle PCs ohne AD-Domain-Anbindung:
    * Die Telemetry-Datenübertragung lässt sich ohne AD-Domain Anbindung nicht deaktivieren. In AD-Domain-Umgebung via GPO/Registry.
    * Ein von Google mitgelieferter Virenscanner scannt das gesamte System, und überträgt die Ergebisse an Google. Die beiden Virenfunktionen lassen sich ohne AD-Domain-Anbindung nicht deaktivieren. In AD-Domain-Umgebung via GPO/Registry.

    Es werden weiterhin alle aufgerufenen URLs an Google übertragen, und Bilder via Google-KI-Dienste analysiert. Diese beiden Funktionen lassen sich via GPO/Registry-Wert deaktivieren.

    Frage an die Fachleute unter euch:
    * Ist dieses Verhalten DSGVO-Konform?
    * Ich hatte die DSGVO so verstanden das die Datenübertragung *einfach* deaktivierbar sein muss.
    * Ich hatte die DSGVO so verstanden das die Datenübertragung *optional* sein muss, und nicht Anwender bei nicht Einwilligung ausgeschlossen werden dürfen.

  3. Bolko sagt:

    ungoogled Chromium 100.0.4896.62 (nicht .60)

    github[.]com/macchrome/winchrome/releases/download/v100.0.4896.62-r972766-Win64/ungoogled-chromium-100.0.4896.62-1_Win64.7z

    sha1: 68e74d66b58dd855ae0e2213ee96ca8d66d5050c

    • Günter Born sagt:

      Danke, muss ich mir ansehen – ist hier leider ein Trum beim Update, da ich vieles manuell unter Windows zurecht biegen muss, weil die Registrierung als Standardbrowser in der portablen Version nicht funktioniert..

      • Bolko sagt:

        Verstehe mein Posting bitte nicht falsch.
        Google Chrome ist 100.0.4896.60 (.60, nicht .62), aber der ungoogled Chromum ist .62 (nicht .60).

        Offenbar hat Marmaduke alias MacChrome, der den ungoogled Chromium modifiziert und compiliert, einfach nur den aktuellsten Source100.0.4896.xx aus dem git Repository genommen.
        chromium[.]googlesource[.]com/chromium/src

        Da gibt es alle paar Stunden irgendwelche kleineren Änderungen.

        Google Chrome hat den tagesaktuellen Source vom 26.3. benutzt (100.0.4896.60) und Marmaduke den tagesaktuellen Source vom 28.3. (100.0.4896.62).

        Im diff gibt es nur in einer Datei kleine völlig unwesentliche Änderungen zwischen .60 und .62:
        chromium[.]googlesource[.]com/chromium/src/+/refs/tags/100.0.4896.62

        dort auf "DEPS[diff]" klicken, um die Unterschiede zu sehen.

        Zum Beispiel sind in v.60 die Revisionen in menschlich lesbarer Form enthalten und in v.62 als Code. Das gab es letztens schonmal bei Chrome 98.xxx.80 und 98.xxx.82 und ist im Grunde völlig egal. Der Compiler dürfte beide Varianten in den selben Maschinencode übersetzen.

        – 'skia_revision': 'refs/heads/chrome/m100',

        + 'skia_revision': '65809fe1d0d63215f6f25fb38f869f878b09c700',

        • Bolko sagt:

          Marmaduke hat nach längerer Zeit auch eine 32-Bit Version des ungoogled Chromium compiliert:

          github[.]com/macchrome/winchrome/releases/download/v100.0.4896.62-r972766-Win64/ungoogled-chromium-100.0.4896.62-1_Win32.7z

          SHA1 646AC004AF4365B8B8C658754025469D1B991223

          Die 100er portable Version für Linux (zB für Debian testing) ist allerdings noch nicht fertig, da ist man noch auf 99.0.4844.84 vom 27.März.

          github[.]com/macchrome/linchrome
          (rechts bei "Releases")

          Den Aufwand des Rauspatchens der Google-Verbindungen und Neucompilierung macht man normalerweise nicht mehrmals pro Woche.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.