[English]Die Google Entwickler haben den Chrome-Browser zum 4. Februar 2021 in der Desktop-Version für Linux, macOS und Windows auf die Version 88.0.4324.150 aktualisiert. Dieses Sicherheitsupdate fixt eine kritische Schwachstelle in den älteren Browserversionen. Microsoft hat zudem den Edge 88.0.705.62 freigegeben, der sieben Schwachstellen beseitigt. Und im Internet Explorer gibt es ebenfalls eine 0-day-Schwachstelle. Ergänzung: Ein Update auf den Edge 88.0.705.63 ist seit dem 5. Februar 2021 verfügbar.
Anzeige
Chrome 88.0.4324.150 fixt kritische Schwachstelle
Im Google-Blog gibt es diesen Beitrag zum Chrome 88.0.4324.150, der für den Desktop eine geschlossene Schwachstelle angibt:
[$TBD][1170176] High CVE-2021-21148: Heap buffer overflow in V8. Reported by Mattias Buelens on 2021-01-24
Google sind Berichte bekannt, dass ein Exploit für CVE-2021-21148 in freier Wildbahn existiert. Der Browser sollte also zügig aktualisiert werden. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können diese Build aber auch hier herunterladen.
ZDNet weist in diesem Artikel darauf hin, dass nordkoreanische Hacker vermutlich über eine 0-day-Schwachstelle im Google Chrome Sicherheitsforscher angegriffen hätten. Microsoft hat diesen Artikel dazu veröffentlicht.
0-day-Schwachstelle im Internet Explorer
Zudem gibt es einen koreanischen Beitrag, in dem Sicherheitsforscher eine entdeckte 0-day-Schwachstelle im Internet Explorer bekannt machen, die ebenfalls für solche Angriffe benutzt wird. Bei Bleeping Computer gibt es diesen Beitrag in Englisch zum Thema. Bisher hat Microsoft noch nichts bezüglich eines Updates verlauten lassen. Danke an 1st1 für den Hinweis.
Edge 88.0.705.62 fixt sieben Schwachstellen
Zum 4. Februar 2021 hat Microsoft den Chromium-basierenden Edge-Browser auf die Version 88.0.705.62 aktualisiert. Diese Version basiert laut dieser MS-Seite auf dem Chrome 88.0.4324.146. Das ist ein Sicherheitsupdate, welches laut dieser Microsoft Sicherheitsseite sieben Schwachstellen beseitigt.
Anzeige
- CVE-2021-24113: (HTML-based) Security Feature Bypass Vulnerability
- CVE-2021-21143: Heap buffer overflow in Extensions
- CVE-2021-21142: Use after free in Payments
- CVE-2021-21144: Heap buffer overflow in Tab Groups
- CVE-2021-21145: Use after free in Fonts
- CVE-2021-21146 : Use after free in Navigation
- CVE-2021-21147: Inappropriate implementation in Skia
Der Browser sollte automatisch aktualisiert werden. (via)
Microsoft bessert Edge nach
Es klang ja bereits in den Kommentaren an, Microsoft hat zum 5. Februar 2021 ein Update auf den Edge 88.0.705.63 freigegeben. Ich habe die Nacht folgenden Sicherheitshinweis von Microsoft dazu erhalten:
*******************************************************************************
Title: Microsoft Security Update Releases
Issued: February 5, 2021
*******************************************************************************
Summary
=======
The following CVEs have been released on February 4, 2021.
* CVE-2021-24113
– CVE-2021-24113 | Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability
– https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24113
– Version 1.0
– Reason for Revision: Information published.
– Originally posted: February 4, 2021
– Updated: N/A
– Aggregate CVE Severity Rating: Important
The following CVEs released on February 4, 2021 and February 5, 2021 were assigned by Chrome. Microsoft Edge
(Chromium-based) ingests Chromium, which addresses these vulnerabilities. Please see
Google Chrome Releases (https://chromereleases.googleblog.com/2021) for more information.
See
https://web.archive.org/web/20221202135942/https://msrc-blog.microsoft.com/2021/01/13/security-update-guide-supports-cves-assigned-by-industry-partners/
for more information about third-party CVEs in the Security Update Guide.
* CVE-2021-21148
Revision Information:
=====================
– Version 1.0
– Reason for Revision: Information published.
– Originally posted: February 5, 2021
* CVE-2021-21142
* CVE-2021-21143
* CVE-2021-21144
* CVE-2021-21145
* CVE-2021-21146
* CVE-2021-21147
Revision Information:
=====================
– Version 1.0
– Reason for Revision: Information published.
– Originally posted: February 4, 2021
Anzeige
Der Edge 88.0.705.62 basiert aber scheinbar nur auf der Chrome Version 88.0.4324.146 !
Ob Edge 88.0.705.62 den Zeroday von 88.0.4324.146 drin hat? Dann müsste MS nochmal nachlegen!
microsoft hat längst nachgelegt mit 88.0.705.63
grade eben am mac auf edge chromium 88.0.705.63 aktualisiert. ich nehme an das der patch für edge.
siehe auch https://docs.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#February-5-2021
Also ich habe soeben bereits die Edge-Version 88.0.705.63 erhalten.
CHROMIUM unter dem VIVALDI-Browser wurde mittlerweile auf Version 88.0.4324.151 aktualisiert.
Chromium-Edge kommt im April per Windows-Sicherheitsupdate für alle: https://techcommunity.microsoft.com/t5/microsoft-365-blog/new-microsoft-edge-to-replace-microsoft-edge-legacy-with-april-s/ba-p/2114224
Ich hatte es gestern gelesen, aber noch keine Zeit für einen Beitrag. Kommt aber heute oder morgen.