Chrome 101.0.4951.41 fixt 30 Schwachstellen, hat aber GPO-Bug

[English]Google hat zum 26. April 2022 Updates des Google Chrome 101.0.4951.41 für Windows und Mac auf dem Desktop im Stable Channel freigegeben. Das ist der neue 101-Entwicklungszweig, wobei das Update 30, zum Teil als Hoch eingestufte Schwachstellen schließt. Ergänzung: Diese Version ignoriert allerdings Gruppenrichtlinien. Zudem sind Updates auf Version 100.0.4896.143 im Extended Stable-Channel verfügbar. Die betreffenden Einträge finden sich im Google-Blog.


Anzeige

Chrome 101.0.4951.41

Dieser Beitrag zum Update auf Chrome 101.0.4951.41 für Windows und Mac für den Desktop enthält kurze Beschreibung der im Chrome-Browser geschlossenen Schwachstellen (und hier gibt es die Details für die Version 100.0.4896.143 im Stable Channel für Windows und Mac). Hier die Liste der geschlossenen Schwachstellen:

[$10000][1313905] High CVE-2022-1477: Use after free in Vulkan. Reported by SeongHwan Park (SeHwa) on 2022-04-06
[$7000][1299261] High CVE-2022-1478: Use after free in SwiftShader. Reported by SeongHwan Park (SeHwa) on 2022-02-20
[$7000][1305190] High CVE-2022-1479: Use after free in ANGLE. Reported by Jeonghoon Shin of Theori on 2022-03-10
[$6000][1307223] High CVE-2022-1480: Use after free in Device API. Reported by @uwu7586 on 2022-03-17
[$5000][1302949] High CVE-2022-1481: Use after free in Sharing. Reported by Weipeng Jiang (@Krace) and Guang Gong of 360 Vulnerability Research Institute on 2022-03-04
[$NA][1304987] High CVE-2022-1482: Inappropriate implementation in WebGL. Reported by Christoph Diehl, Microsoft on 2022-03-10
[$NA][1314754] High CVE-2022-1483: Heap buffer overflow in WebGPU. Reported by Mark Brand of Google Project Zero on 2022-04-08
[$7500][1297429] Medium CVE-2022-1484: Heap buffer overflow in Web UI Settings. Reported by Chaoyuan Peng (@ret2happy) on 2022-02-15
[$7500][1299743] Medium CVE-2022-1485: Use after free in File System API. Reported by Anonymous on 2022-02-22
[$7500][1314616] Medium CVE-2022-1486: Type Confusion in V8. Reported by Brendon Tiszka on 2022-04-08
[$7000][1304368] Medium CVE-2022-1487: Use after free in Ozone. Reported by Sri on 2022-03-09
[$5000][1302959] Medium CVE-2022-1488: Inappropriate implementation in Extensions API. Reported by Thomas Beverley from Wavebox.io on 2022-03-04
[$2000][1300561] Medium CVE-2022-1489: Out of bounds memory access in UI Shelf. Reported by Khalil Zhani on 2022-02-25
[$2000][1301840] Medium CVE-2022-1490: Use after free in Browser Switcher. Reported by raven at KunLun lab on 2022-03-01
[$2000][1305706] Medium CVE-2022-1491: Use after free in Bookmarks. Reported by raven at KunLun lab on 2022-03-12
[$2000][1315040] Medium CVE-2022-1492: Insufficient data validation in Blink Editing. Reported by Michał Bentkowski of Securitum on 2022-04-11
[$1000][1275414] Medium CVE-2022-1493: Use after free in Dev Tools. Reported by Zhihua Yao of KunLun Lab on 2021-12-01
[$1000][1298122] Medium CVE-2022-1494: Insufficient data validation in Trusted Types. Reported by Masato Kinugawa on 2022-02-17
[$1000][1301180] Medium CVE-2022-1495: Incorrect security UI in Downloads. Reported by Umar Farooq on 2022-02-28
[$1000][1306391] Medium CVE-2022-1496: Use after free in File Manager. Reported by Zhiyi Zhang and Zhunki from Codesafe Team of Legendsec at Qi'anxin Group on 2022-03-15
[$NA][1264543] Medium CVE-2022-1497: Inappropriate implementation in Input. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-10-29
[$500][1297138] Low CVE-2022-1498: Inappropriate implementation in HTML Parser. Reported by SeungJu Oh (@real_as3617) on 2022-02-14
[$NA][1000408] Low CVE-2022-1499: Inappropriate implementation in WebAuthentication. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2019-09-04
[$TBD][1223475] Low CVE-2022-1500: Insufficient data validation in Dev Tools. Reported by Hoang Nguyen on 2021-06-25
[$NA][1293191] Low CVE-2022-1501: Inappropriate implementation in iframe. Reported by Oriol Brufau on 2022-02-02

Details zu den Schwachstellen werden aber keine veröffentlicht, bis der Großteil der Nutzer umgestiegen ist. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Man kann den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) aktualisieren. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen.

Der Gruppenrichtlinien-Bug

Beachtet die Hinweise in den nachfolgenden Kommentaren. Gruppenrichtlinien für den Google Chrome-Browser, die in Firmen zum Einsatz kommen, werden durch einen Bug wohl nicht berücksichtig.


Anzeige

Dieser Beitrag wurde unter Google Chrome, Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Chrome 101.0.4951.41 fixt 30 Schwachstellen, hat aber GPO-Bug

  1. mvo sagt:

    Man könnte fast meinen, Chrome versucht Flash als löchrigste Software zu überholen…

  2. Bernie sagt:

    Vorsicht mit dieser Version, da einige Gruppenrichtlinien nicht mehr ziehen (z. B. eingestellte Startseite).
    Siehe auch Kommentar von Floyd unter:
    https://www.deskmodder.de/blog/2022/04/27/google-chrome-101-101-0-4951-41-mit-30-sicherheitsupdates-und-weitere-aktualisierungen/#comments

    Ich kann das Verhalten in unserer Umgebung (Windows 19 Enterprise 21H2) bestätigen und such noch nach einer Lösung.

  3. TSTONER sagt:

    Japp gpos werden definitiv nicht angwendet. Vorsicht !

  4. Dima sagt:

    Problem kann ebenfalls bestätigt werden. Proxysettings sind zum Glück nicht betroffen.

    Was allerdings greift ist:
    * "Neuer Tab"-Seite als Startseite verwenden: aktiviert
    * URL für "Neue Tab"-Seite konfigurieren: aktiviert und die entsprechende URL setzen

    Allerdings wird dann bei jedem Tab die entsprechende Seite geöffnet

  5. WillyWurm sagt:

    Wir haben als Workaround den Rollback in den Google Updater GPO aktivert:

    Rollback to Target version: Aktiviert
    Target version prefix override: Aktiviert
    Target version prefix: 100.

  6. Bolko sagt:

    ungoogled Chromium 101.0.4951.41 für Win64

    github[.]com/macchrome/winchrome/releases/download/v101.0.4951.41-r982481-Win64/ungoogled-chromium-101.0.4951.41-1_Win64.7z

    sha1: 9f51818de25c9cd1d8230e43f9857eb3d62b0ded
    .
    .
    ungoogled Chromium 101.0.4951.41 für Linux x64

    github[.]com/macchrome/linchrome/releases/download/v101.0.4951.41-r982481-portable-ungoogled-Lin64/ungoogled-chromium_101.0.4951.41_1.vaapi_linux.tar.xz

    sha1: 6bfafe07170310c5c08db3f852546664fbe65695

  7. Bernie sagt:

    Mit der Version 101.0.4951.54 ist der GPO-Fehler behoben.

  8. Steven sagt:

    Hallo,
    kann ich bestätigen Chrome 101.0.4951.54 nutzt wieder die GPOs,
    aber Achtung – gewisse Richtlinien wurden umbenannt.
    ALT: AuthServerWhitelist = NEU: AuthServerAllowlist
    ALT: AuthNegotiateDelegateWhitelist = NEU: AuthNegotiateDelegateAllowlist

    Grüße
    Steven

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.