[English]Google hat zum 7. März 2023 Updates des Google Chrome Browsers 111 im Stable Channel für Mac, Linux und Windows freigegeben. Mac und Linux erreichen nun die Version 111.0.5563.64, während für Windows die Versionen 111.0.5563.64/.65 bereitstehen. Es sind Sicherheitsupdates, welche kritische Schwachstellen beseitigen. Auch der Extended Stable Channel sowie Android wurden aktualisiert.
Anzeige
Google Chrome 111.0.5563.64/65
Der betreffende Eintrag für den Chrome 111 findet sich im Google-Blog. Der Stable-Channel wurde für macOS und Linux auf die Version 111.0.5563.64 aktualisiert. Für Windows aktualisiert das Update den Browser auf die Version 111.0.5563.64/.65. Die Bug-Fix-Updates schließen 40 Schwachstellen, darunter die nachfolgend aufgeführten.
- [$15000][1411210] High CVE-2023-1213: Use after free in Swiftshader. Reported by Jaehun Jeong(@n3sk) of Theori on 2023-01-30
- [$10000][1412487] High CVE-2023-1214: Type Confusion in V8. Reported by Man Yue Mo of GitHub Security Lab on 2023-02-03
- [$7000][1417176] High CVE-2023-1215: Type Confusion in CSS. Reported by Anonymous on 2023-02-17
- [$4000][1417649] High CVE-2023-1216: Use after free in DevTools. Reported by Ganjiang Zhou(@refrain_areu) of ChaMd5-H1 team on 2023-02-21
- [$3000][1412658] High CVE-2023-1217: Stack buffer overflow in Crash reporting. Reported by sunburst of Ant Group Tianqiong Security Lab on 2023-02-03
- [$3000][1413628] High CVE-2023-1218: Use after free in WebRTC. Reported by Anonymous on 2023-02-07
- [$TBD][1415328] High CVE-2023-1219: Heap buffer overflow in Metrics. Reported by Sergei Glazunov of Google Project Zero on 2023-02-13
- [$TBD][1417185] High CVE-2023-1220: Heap buffer overflow in UMA. Reported by Sergei Glazunov of Google Project Zero on 2023-02-17
- [$10000][1385343] Medium CVE-2023-1221: Insufficient policy enforcement in Extensions API. Reported by Ahmed ElMasry on 2022-11-16
- [$7000][1403515] Medium CVE-2023-1222: Heap buffer overflow in Web Audio API. Reported by Cassidy Kim(@cassidy6564) on 2022-12-24
- [$5000][1398579] Medium CVE-2023-1223: Insufficient policy enforcement in Autofill. Reported by Ahmed ElMasry on 2022-12-07
- [$5000][1403539] Medium CVE-2023-1224: Insufficient policy enforcement in Web Payments API. Reported by Thomas Orlita on 2022-12-25
- [$5000][1408799] Medium CVE-2023-1225: Insufficient policy enforcement in Navigation. Reported by Roberto Ffrench-Davis @Lihaft on 2023-01-20
- [$3000][1013080] Medium CVE-2023-1226: Insufficient policy enforcement in Web Payments API. Reported by Anonymous on 2019-10-10
- [$3000][1348791] Medium CVE-2023-1227: Use after free in Core. Reported by @ginggilBesel on 2022-07-31
- [$3000][1365100] Medium CVE-2023-1228: Insufficient policy enforcement in Intents. Reported by Axel Chong on 2022-09-18
- [$2000][1160485] Medium CVE-2023-1229: Inappropriate implementation in Permission prompts. Reported by Thomas Orlita on 2020-12-20
- [$2000][1404230] Medium CVE-2023-1230: Inappropriate implementation in WebApp Installs. Reported by Axel Chong on 2022-12-30
- [$TBD][1274887] Medium CVE-2023-1231: Inappropriate implementation in Autofill. Reported by Yan Zhu, Brave on 2021-11-30
- [$2000][1346924] Low CVE-2023-1232: Insufficient policy enforcement in Resource Timing. Reported by Sohom Datta on 2022-07-24
- [$1000][1045681] Low CVE-2023-1233: Insufficient policy enforcement in Resource Timing. Reported by Soroush Karami on 2020-01-25
- [$1000][1404621] Low CVE-2023-1234: Inappropriate implementation in Intents. Reported by Axel Chong on 2023-01-03
- [$1000][1404704] Low CVE-2023-1235: Type Confusion in DevTools. Reported by raven at KunLun lab on 2023-01-03
- [$TBD][1374518] Low CVE-2023-1236: Inappropriate implementation in Internals. Reported by Alesandro Ortiz on 2022-10-14
Details werden wie üblich keine genannt. Google gibt zudem an, dass verschiedene Korrekturen, basierend auf Ergebnissen aus internen Audits, Fuzzing und anderen Initiativen, durchgeführt wurden. Chrome wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Man kann (und sollte in diesem Fall) den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) aktualisieren. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen. (via)
Google Chrome 110.0.5481.192 (Extended Stable)
Im Extended Stable Channel wurde der Google Chrome 110.0.5481.192 für Windows und Mac Mac veröffentlicht. Der betreffende Eintrag für den Chrome 110 findet sich im Google-Blog. Details werden wie üblich keine genannt.
Google Chrome 111.0.5563.57/.58 für Android
Ein Chrome for Android Update hebt den Browser für Android auf die Version 111.0.5563.57/.58.
Anzeige
Anzeige
> 40 Schwachstellen
Muss echt gut sein dieser Chrome. Aber hey, QC outsourcen an Bug bounty Jäger spart Geld, dann muss man nur zahlen wenn wirklich was gefunden wurde. Bei einem echten Code review zahlt man ja auch wenn die nichts finden.
Richtig, lieber nutzt man Anwendungsprogramme und Produkte, wo man 0,0 Fehler findet, weil… niemand danach sucht. Angreifer freuen sich über derlei Produkte, die angeblich "frei von Fehlern und Sicherheitslücken sind". Die Wahrheit ist: Die strotzen regelrecht davon!
Also lieber so, offen kommunizieren und schließen. Fertig.
Da könnte sich so manch anderes Unternehmen 10 Scheiben von abschneiden.
Diese albernen Übertreibungen und Generalisierungen. Niemand hat von 0% Fehlern gesprochen.
Fakt 1: Es gibt 6x mal mehr Auszahlungen
https://security.googleblog.com/2023/02/vulnerability-reward-program-2022-year.html
Fakt 2: Trotz schrumpfendem Produktportfolio:
https://killedbygoogle.com/
Eins steigt nicht, die Qualität. Das die Auszahlungen steigen bedeutet auch viele schwere Lücken, die geben mehr Geld!
Wenn du glaubst, dass alle anderen falsch sind, und du denen nur sagen musst, dass sie falsch sind, damit sie ihre Meinung wegschmeißen und sich dir anschließen, wirst du im Leben nicht viel Freude haben. Wenn man mir nicht glauben willst, dann exerzier das bitte woanders durch, nicht unter meinen Beiträgen.
Bug bounty findet vorallem automatisierbar findbare Billig-Lücken wie XSS für die es in 2023 überhaupt gar keine Ausrede mehr gibt, warum die Lücke es bis in die Produktion geschafft hat!!
Wenn ihr mir Antwortet dann schreibt auch was gescheites. Wir sind hier nicht im Heise-Forum. *makrelerüberreich*
"Wenn man mir nicht glauben willst, dann exerzier das bitte woanders durch, nicht unter meinen Beiträgen."
Muah, das lasse ich mir von Dir sicherlich nicht vorschreiben.
"Wenn ihr mir Antwortet dann schreibt auch was gescheites."
Dunning und Kruger soll sich therapieren lassen. ;-)
Davon ab beinhaltet meine Aussage viel Wahres. Solltest Dich mal intensiver mit sauberer Fehlerprotokollierung befassen und wie vorteilhaft eine entsprechend offene Kommunikation in der Hinsicht ist.
Produkte werden komplexer, Qualitätssicherung hin oder her. Das gilt auch für materielle Güter wie Fahrzeuge. Du bekommst nichts mehr frei von Fehlern. Das ist nicht schön, aber eben der Preis der "Moderne".
Um so wichtiger ist eine transparente Kommunikation, damit man eben entsprechende Maßnahmen ergreifen kann. Man kann natürlich auch gegen Chrome (und andere Produkte) bashen, muß dann aber mit Gegenwind rechnen.
Fakt 1: Und? Daraus leitest Du was ab? Merkwürdige Kausalitäten.
Fakt 2: Oh, das kann Microsoft auch. Und nun? Wenn ein Produkt nicht anständig akzeptiert wird, stampfe ich es ein. So ticken wirtschaftlich orientierte Unternehmen.