[English]Google hat zum 16. Januar 2023 Updates des Google Chrome Browsers im Stable Channel für Mac, Linux und Windows freigegeben. Betrifft sowohl den Standard als auch den Extended Stable Channe Auch die Android-App des Chrome-Browsers wurden aktualisiert. Die Updates enthalten Sicherheitsfixes, die teilweise bereits ausgenutzt werden. Hier ein Überblick über diese Updates.
Anzeige
Google Chrome (Stable)
Der betreffende Eintrag findet sich im Google-Blog. Der Stable-Channel wurde für macOS und Linux auf die Version 120.0.6099.234 aktualisiert (hier stellt sich mir die Frage, ob das nicht ein Tippfehler ist und die Version 120.0.6099.224 ausgerollt wird). Für Windows aktualisiert das Update den Browser auf die Version 120.0.6099.224. Google gibt an, folgende Schwachstelle(n) beseitigt zu haben.
- [$16000][1515930] High CVE-2024-0517: Out of bounds write in V8. Reported by Toan (suto) Pham of Qrious Secure on 2024-01-06
- [$1000][1507412] High CVE-2024-0518: Type Confusion in V8. Reported by Ganjiang Zhou(@refrain_areu) of ChaMd5-H1 team on 2023-12-03
- [$TBD][1517354] High CVE-2024-0519: Out of bounds memory access in V8. Reported by Anonymous on 2024-01-11
Alle drei oben aufgeführten Schwachstellen werden als "High" eingestuft, wobei Google von vier geschlossenen Schwachstellen schreibt. Google sind Berichte bekannt, wonach ein Exploit für CVE-2024-0519 in freier Wildbahn existiert. Der Browser sollte also umgehend aktualisiert werden, auch wenn sich der Browser per automatische Update-Funktion aktualisiert. Man kann den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) aktualisieren. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen.
Google Chrome (Extended Stable)
Im Extended Stable Channel wurde Google Chrome für macOS auf die Version 120.0.6099.234 und für Windows auf die Version 120.0.6099.224/225 aktualisiert. Es enthält die gleichen Korrekturen wie im Stable Channel. Das Update wird in den kommenden Tagen ausgerollt.
Chrome für Android 120.0.6099.230
Weiterhin hat Google Chrome für Android gemäß diesem Google-Post auf die Version 120.0.6099.230 aktualisiert und wird in den nächsten Tagen per Update verteilt. Diese Version enthält Stabilitäts- und Leistungsverbesserungen, sowie die gleichen Sicherheitsfixes wie oben für die Desktop-Versionen des Browsers erwähnt.
Anzeige
Anzeige
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
"January 16, 2024
Microsoft is aware of the recent exploit existing in the wild. We are actively working on releasing a security patch as reported by the Chromium team.
Note
It's worth highlighting that Microsoft Edge's enhanced security mode feature mitigates this vulnerability. You can opt-in into this security feature and have peace of mind that Microsoft Edge is protecting you against this exploit."
Bei jedem Update von Google Chrome muss ich an Microsoft Edge denken, der zeitversetzt erst später aktualisiert wird, während bei Chrome bereits von der Ausnutzung der mit einem Update geschlossenen Sicherheitslücken gewarnt wird …
(https://www.heise.de/news/Google-Chrome-Sicherheitsluecke-wird-in-freier-Wildbahn-ausgenutzt-9599575.html)
Ich habe den Chrome auf dem Samsung-Telefon, mit Android 12, ja deaktiviert, weshalb er noch auf 108.0.xxxx.xxx war. Nachdem ich ihn vorhin für ein Update mal vorrübergehend aktivierte, ist er jetzt aber dennoch erst auf 120.0.6099.210. Android System WebView wurde zuletzt vor 5 Tagen aktualisiert und ist auf der gleichen Version. Eine erneut manuelle Suche befördert nichts Neues zutage.
Interessanter Post/Thread bei Heise:
https://www.heise.de/forum/heise-online/Kommentare/Google-Chrome-Sicherheitsluecke-wird-in-freier-Wildbahn-ausgenutzt/Versionschaos-auf-Android/posting-43555023/show/
Ich nutze keine Profile und vermute, dass das "Arbeitsprofil" das standardmäßige ist. Er hätte aber zusätzlich noch das Fabrikat des Gerätes angeben können. Vielleicht macht es auch einen Unterschied, ob es von Goggle, Samsung, Sony, LG, Motorola, Nokia, usw. ist.
Staged Rollout?
Vermutlich. Das dachte ich mir gleich nach meinem Post dann auch.