[English]Google hat zum 26. April 2022 Updates des Google Chrome 101.0.4951.41 für Windows und Mac auf dem Desktop im Stable Channel freigegeben. Das ist der neue 101-Entwicklungszweig, wobei das Update 30, zum Teil als Hoch eingestufte Schwachstellen schließt. Ergänzung: Diese Version ignoriert allerdings Gruppenrichtlinien. Zudem sind Updates auf Version 100.0.4896.143 im Extended Stable-Channel verfügbar. Die betreffenden Einträge finden sich im Google-Blog.
Anzeige
Chrome 101.0.4951.41
Dieser Beitrag zum Update auf Chrome 101.0.4951.41 für Windows und Mac für den Desktop enthält kurze Beschreibung der im Chrome-Browser geschlossenen Schwachstellen (und hier gibt es die Details für die Version 100.0.4896.143 im Stable Channel für Windows und Mac). Hier die Liste der geschlossenen Schwachstellen:
[$10000][1313905] High CVE-2022-1477: Use after free in Vulkan. Reported by SeongHwan Park (SeHwa) on 2022-04-06
[$7000][1299261] High CVE-2022-1478: Use after free in SwiftShader. Reported by SeongHwan Park (SeHwa) on 2022-02-20
[$7000][1305190] High CVE-2022-1479: Use after free in ANGLE. Reported by Jeonghoon Shin of Theori on 2022-03-10
[$6000][1307223] High CVE-2022-1480: Use after free in Device API. Reported by @uwu7586 on 2022-03-17
[$5000][1302949] High CVE-2022-1481: Use after free in Sharing. Reported by Weipeng Jiang (@Krace) and Guang Gong of 360 Vulnerability Research Institute on 2022-03-04
[$NA][1304987] High CVE-2022-1482: Inappropriate implementation in WebGL. Reported by Christoph Diehl, Microsoft on 2022-03-10
[$NA][1314754] High CVE-2022-1483: Heap buffer overflow in WebGPU. Reported by Mark Brand of Google Project Zero on 2022-04-08
[$7500][1297429] Medium CVE-2022-1484: Heap buffer overflow in Web UI Settings. Reported by Chaoyuan Peng (@ret2happy) on 2022-02-15
[$7500][1299743] Medium CVE-2022-1485: Use after free in File System API. Reported by Anonymous on 2022-02-22
[$7500][1314616] Medium CVE-2022-1486: Type Confusion in V8. Reported by Brendon Tiszka on 2022-04-08
[$7000][1304368] Medium CVE-2022-1487: Use after free in Ozone. Reported by Sri on 2022-03-09
[$5000][1302959] Medium CVE-2022-1488: Inappropriate implementation in Extensions API. Reported by Thomas Beverley from Wavebox.io on 2022-03-04
[$2000][1300561] Medium CVE-2022-1489: Out of bounds memory access in UI Shelf. Reported by Khalil Zhani on 2022-02-25
[$2000][1301840] Medium CVE-2022-1490: Use after free in Browser Switcher. Reported by raven at KunLun lab on 2022-03-01
[$2000][1305706] Medium CVE-2022-1491: Use after free in Bookmarks. Reported by raven at KunLun lab on 2022-03-12
[$2000][1315040] Medium CVE-2022-1492: Insufficient data validation in Blink Editing. Reported by Michał Bentkowski of Securitum on 2022-04-11
[$1000][1275414] Medium CVE-2022-1493: Use after free in Dev Tools. Reported by Zhihua Yao of KunLun Lab on 2021-12-01
[$1000][1298122] Medium CVE-2022-1494: Insufficient data validation in Trusted Types. Reported by Masato Kinugawa on 2022-02-17
[$1000][1301180] Medium CVE-2022-1495: Incorrect security UI in Downloads. Reported by Umar Farooq on 2022-02-28
[$1000][1306391] Medium CVE-2022-1496: Use after free in File Manager. Reported by Zhiyi Zhang and Zhunki from Codesafe Team of Legendsec at Qi'anxin Group on 2022-03-15
[$NA][1264543] Medium CVE-2022-1497: Inappropriate implementation in Input. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-10-29
[$500][1297138] Low CVE-2022-1498: Inappropriate implementation in HTML Parser. Reported by SeungJu Oh (@real_as3617) on 2022-02-14
[$NA][1000408] Low CVE-2022-1499: Inappropriate implementation in WebAuthentication. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2019-09-04
[$TBD][1223475] Low CVE-2022-1500: Insufficient data validation in Dev Tools. Reported by Hoang Nguyen on 2021-06-25
[$NA][1293191] Low CVE-2022-1501: Inappropriate implementation in iframe. Reported by Oriol Brufau on 2022-02-02
Details zu den Schwachstellen werden aber keine veröffentlicht, bis der Großteil der Nutzer umgestiegen ist. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Man kann den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) aktualisieren. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen.
Der Gruppenrichtlinien-Bug
Beachtet die Hinweise in den nachfolgenden Kommentaren. Gruppenrichtlinien für den Google Chrome-Browser, die in Firmen zum Einsatz kommen, werden durch einen Bug wohl nicht berücksichtig.
Anzeige
Man könnte fast meinen, Chrome versucht Flash als löchrigste Software zu überholen…
Vorsicht mit dieser Version, da einige Gruppenrichtlinien nicht mehr ziehen (z. B. eingestellte Startseite).
Siehe auch Kommentar von Floyd unter:
https://www.deskmodder.de/blog/2022/04/27/google-chrome-101-101-0-4951-41-mit-30-sicherheitsupdates-und-weitere-aktualisierungen/#comments
Ich kann das Verhalten in unserer Umgebung (Windows 19 Enterprise 21H2) bestätigen und such noch nach einer Lösung.
scheint ein Bug zu sein und ist als Open Issue gelistet, siehe:
https://bugs.chromium.org/p/chromium/issues/detail?id=1320281&q=Policy&can=2
Wir haben als Workaround den Rollback in den Google Updater GPO aktivert:
Rollback to Target version: Aktiviert
Target version prefix override: Aktiviert
Target version prefix: 100.
Japp gpos werden definitiv nicht angwendet. Vorsicht !
Problem kann ebenfalls bestätigt werden. Proxysettings sind zum Glück nicht betroffen.
Was allerdings greift ist:
* "Neuer Tab"-Seite als Startseite verwenden: aktiviert
* URL für "Neue Tab"-Seite konfigurieren: aktiviert und die entsprechende URL setzen
Allerdings wird dann bei jedem Tab die entsprechende Seite geöffnet
Edge 101 ist jetzt auch da, ob der auch betroffen ist? https://docs.microsoft.com/de-de/deployedge/microsoft-edge-relnote-beta-channel#version-1010121010-april-8
Nein, Edge v101 ist NICHT betroffen.
Microsoft Edge v101 ist von diesem GPO-Bug deshalb NICHT betroffen, weil dieser Bug in Edge v101 bereits in der Beta-Phase von mir erkannt und gemeldet wurde. Ich war mit dem zuständigen Microsoft-Entwickler schon ab 09.04.2022 in Kontakt und der Bug wurde in Edge bereits ab 19.04.2022 behoben. Die Thematik wurde auch an das Chromium-Team nach oben gemeldet.
Details hierzu siehe: https://techcommunity.microsoft.com/t5/enterprise/bug-edge-beta-101-on-start-this-policy-is-blocked-its-value-will/m-p/3280750/highlight/true#M4439
Wir haben als Workaround den Rollback in den Google Updater GPO aktivert:
Rollback to Target version: Aktiviert
Target version prefix override: Aktiviert
Target version prefix: 100.
ungoogled Chromium 101.0.4951.41 für Win64
github[.]com/macchrome/winchrome/releases/download/v101.0.4951.41-r982481-Win64/ungoogled-chromium-101.0.4951.41-1_Win64.7z
sha1: 9f51818de25c9cd1d8230e43f9857eb3d62b0ded
.
.
ungoogled Chromium 101.0.4951.41 für Linux x64
github[.]com/macchrome/linchrome/releases/download/v101.0.4951.41-r982481-portable-ungoogled-Lin64/ungoogled-chromium_101.0.4951.41_1.vaapi_linux.tar.xz
sha1: 6bfafe07170310c5c08db3f852546664fbe65695
Mit der Version 101.0.4951.54 ist der GPO-Fehler behoben.
Danke für die Info.
Muito obrigado por avisar.
Ich kann ebenfalls bestätigen, dass in unserer Firma der Bug mit der neueren Version 101.0.4951.54 wieder behoben ist.
Hallo,
kann ich bestätigen Chrome 101.0.4951.54 nutzt wieder die GPOs,
aber Achtung – gewisse Richtlinien wurden umbenannt.
ALT: AuthServerWhitelist = NEU: AuthServerAllowlist
ALT: AuthNegotiateDelegateWhitelist = NEU: AuthNegotiateDelegateAllowlist
Grüße
Steven