{"id":236752,"date":"2020-10-21T11:19:28","date_gmt":"2020-10-21T09:19:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236752"},"modified":"2020-10-21T11:41:09","modified_gmt":"2020-10-21T09:41:09","slug":"kritisches-sicherheitsupdate-auf-google-chrome-86-0-4240-111-erschienen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/21\/kritisches-sicherheitsupdate-auf-google-chrome-86-0-4240-111-erschienen\/","title":{"rendered":"Kritisches Sicherheitsupdate auf Google Chrome 86.0.4240.111"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Chrome.jpg\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/10\/21\/kritisches-sicherheitsupdate-auf-google-chrome-86-0-4240-111-erschienen\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Google hat zum 20. Oktober 2020 den Google Chrome Browser auf die Version 86.0.4240.111 aktualisiert. Dieses Update schlie\u00dft eine 0-Day-Schwachstelle CVE-2020-15999 in der (auch in anderen Softwareprodukten wie Linux) FreeType-Bibliothek, der bereits ausgenutzt wird.<\/p>\n<p><!--more--><\/p>\n<h2>Chrome 86.0.4240.111 mit Sicherheitsfixes<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/f87c2ae5c7d2424d9c7db14e14ca048e\" alt=\"\" width=\"1\" height=\"1\" \/>Der Chrome 86.0.4240.111 f\u00fcr den Desktop enth\u00e4lt eine Reihe an Fixes (siehe <a href=\"https:\/\/chromium.googlesource.com\/chromium\/src\/+log\/86.0.4240.75..86.0.4240.111?pretty=fuller&amp;n=10000\" target=\"_blank\" rel=\"noopener noreferrer\">Changelog<\/a>). Im Google-Blog gibt es <a href=\"https:\/\/chromereleases.googleblog.com\/2020\/10\/stable-channel-update-for-desktop_20.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Beitrag<\/a> mit der Ank\u00fcndigung, die auch die Liste der geschlossenen Schwachstellen auflistet.<\/p>\n<ul>\n<li>[$500][1125337] High CVE-2020-16000: Inappropriate implementation in Blink. Reported by amaebi_jp on 2020-09-06<\/li>\n<li>[$TBD][1135018] High CVE-2020-16001: Use after free in media. Reported by Khalil Zhani on 2020-10-05<\/li>\n<li>[$TBD][1137630] High CVE-2020-16002: Use after free in PDFium. Reported by Weipeng Jiang (@Krace) from Codesafe Team of Legendsec at Qi'anxin Group on 2020-10-13<\/li>\n<li>[$NA][1139963] High CVE-2020-15999: Heap buffer overflow in Freetype. Reported by Sergei Glazunov of Google Project Zero on 2020-10-19<\/li>\n<li>[$3000][1134960] Medium CVE-2020-16003: Use after free in printing. Reported by Khalil Zhani on 2020-10-04<\/li>\n<\/ul>\n<p>Fast alle Schwachstellen sind mit der Einstufung High versehen. Insbesondere die Heap Buffer Overflow Schwachstelle CVE-2020-15999 in der Freetype-Font-Bibliothek hat Google wohl zum Patchen bewogen. Dazu merkt man an, dass bekannt sei, dass die Schwachstelle bereits ausgenutzt werde.<\/p>\n<p>Die Chrome-Version f\u00fcr Windows, Mac und Linux wird in den n\u00e4chsten Tagen \u00fcber die automatische Update-Funktion auf die Systeme ausgerollt. Sie k\u00f6nnen diese Build aber auch <a href=\"https:\/\/www.google.com\/intl\/de_de\/chrome\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier herunterladen<\/a>. Updates f\u00fcr Edge, Vivaldi und weitere Clones sollten ebenfalls (ggf. in den kommenden Tagen) verf\u00fcgbar sein.<\/p>\n<h2>Angriffe auf CVE-2020-15999 in FreeType-Bibliothek<\/h2>\n<p>ZDNet <a href=\"https:\/\/www.zdnet.com\/article\/google-releases-chrome-security-update-to-patch-actively-exploited-zero-day\/\" target=\"_blank\" rel=\"noopener noreferrer\">berichtet hier<\/a> Details. Laut Ben Hawkes, dem Leiter des Project Zero-Teams, wurde ein Versuch bemerkt, diesen FreeType-Bug zu missbrauchen, um Angriffe gegen Chrome-Benutzer zu starten. Ben Hawkes dr\u00e4ngte nun andere Anbieter von Anwendungen, die dieselbe FreeType-Bibliothek verwenden, ihre Software ebenfalls zu aktualisieren. Denn es ist davon auszugehen, dass Cyber-Kriminelle diese Art Angriffe auf andere Anwendungen, die die Bibliothek verwenden, zu verlagern. Ein Patch f\u00fcr diesen Fehler ist in FreeType 2.10.4 enthalten, das am 20. Oktober 2020 ver\u00f6ffentlicht wurde.<\/p>\n<blockquote><p>Anmerkung: Hier sollten Linux-Nutzer reagieren, da dort FreeType im Einsatz ist (siehe z.B. <a href=\"https:\/\/security-tracker.debian.org\/tracker\/CVE-2020-15999\" target=\"_blank\" rel=\"noopener noreferrer\">diesen debian Eintrag<\/a>).<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]Google hat zum 20. Oktober 2020 den Google Chrome Browser auf die Version 86.0.4240.111 aktualisiert. Dieses Update schlie\u00dft eine 0-Day-Schwachstelle CVE-2020-15999 in der (auch in anderen Softwareprodukten wie Linux) FreeType-Bibliothek, der bereits ausgenutzt wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426,7459,185],"tags":[984,4315],"class_list":["post-236752","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","category-software","category-update","tag-google-chrome","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236752","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236752"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236752\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236752"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236752"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236752"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}