{"id":252242,"date":"2021-04-15T17:20:59","date_gmt":"2021-04-15T15:20:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252242"},"modified":"2021-06-07T11:20:12","modified_gmt":"2021-06-07T09:20:12","slug":"google-chrome-90-0-4430-72-schwachstellen-gefixt-und-https-als-standard","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/15\/google-chrome-90-0-4430-72-schwachstellen-gefixt-und-https-als-standard\/","title":{"rendered":"Google Chrome 90.0.4430.72: Schwachstellen gefixt und HTTPS als Standard"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Chrome.jpg\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/04\/15\/google-chrome-90-0-4430-72-schwachstellen-gefixt-und-https-als-standard\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Google hat zum 14. April 2021 den Google Chrome 90.0.4430.72 freigegeben. Es ist ein neuer Entwicklungszweig mit einigen Neuerungen. Der Browser sollte zeitnah aktualisiert werden, da Google 37Schwachstelle schlie\u00dft. Hier ein kurzer \u00dcberblick.<\/p>\n<p><!--more--><\/p>\n<p>Mir ist die Information <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/15\/patchday-microsoft-office-updates-13-april-2021\/#comment-105453\">hier<\/a> unter die Augen gekommen. Im Google-Blog gibt es <a href=\"https:\/\/chromereleases.googleblog.com\/2021\/04\/stable-channel-update-for-desktop_14.html\">diesen Beitrag<\/a> mit einer Liste der im Chrome 90.0.4430.72 f\u00fcr den Desktop geschlossenen Schwachstellen. Hier einige hervorgehobene Schwachstellen, die beseitigt wurden.<\/p>\n<ul>\n<li>[$20000][1025683] High CVE-2021-21201: Use after free in permissions. Reported by Gengming Liu, Jianyu Chen at Tencent Keen Security Lab on 2019-11-18<\/li>\n<li>[$10000][1188889] High CVE-2021-21202: Use after free in extensions. Reported by David Erceg on 2021-03-16<\/li>\n<li>[$5000][1192054] High CVE-2021-21203: Use after free in Blink. Reported by asnine on 2021-03-24<\/li>\n<li>[$1000][1189926] High CVE-2021-21204: Use after free in Blink. Reported by Chelse Tsai-Simek, Jeanette Ulloa, and Emily Voigtlander of Seesaw on 2021-03-19<\/li>\n<li>[$TBD][1165654] High CVE-2021-21205: Insufficient policy enforcement in navigation. Reported by Alison Huffman, Microsoft Browser Vulnerability Research on 2021-01-12<\/li>\n<li>[$TBD][1195333] High CVE-2021-21221: Insufficient validation of untrusted input in Mojo. Reported by Guang Gong of Alpha Lab, Qihoo 360 on 2021-04-02<\/li>\n<li>[$5000][1185732] Medium CVE-2021-21207: Use after free in IndexedDB. Reported by koocola (@alo_cook) and Nan Wang (@eternalsakura13) of 360 Alpha Lab on 2021-03-08<\/li>\n<li>[$3000][1039539] Medium CVE-2021-21208: Insufficient data validation in QR scanner. Reported by Ahmed Elsobky (@0xsobky) on 2020-01-07<\/li>\n<li>[$3000][1143526] Medium CVE-2021-21209: Inappropriate implementation in storage. Reported by Tom Van Goethem (@tomvangoethem) on 2020-10-29<\/li>\n<li>[$3000][1184562] Medium CVE-2021-21210: Inappropriate implementation in Network. Reported by @bananabr on 2021-03-04<\/li>\n<li>[$2000][1103119] Medium CVE-2021-21211: Inappropriate implementation in Navigation. Reported by Akash Labade (m0ns7er) on 2020-07-08<\/li>\n<li>[$500][1145024] Medium CVE-2021-21212: Incorrect security UI in Network Config UI. Reported by Hugo Hue and Sze Yiu Chau of the Chinese University of Hong Kong on 2020-11-03<\/li>\n<li>[$N\/A][1161806] Medium CVE-2021-21213: Use after free in WebMIDI. Reported by raven (@raid_akame)\u00a0 on 2020-12-25<\/li>\n<li>[$TBD][1170148] Medium CVE-2021-21214: Use after free in Network API. Reported by Anonymous on 2021-01-24<\/li>\n<li>[$TBD][1172533] Medium CVE-2021-21215: Inappropriate implementation in Autofill. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-01-30<\/li>\n<li>[$TBD][1173297] Medium CVE-2021-21216: Inappropriate implementation in Autofill. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-02-02<\/li>\n<li>[$500][1166462] Low CVE-2021-21217: Uninitialized Use in PDFium. Reported by Zhou Aiting (@zhouat1) of Qihoo 360 Vulcan Team on 2021-01-14<\/li>\n<li>[$500][1166478] Low CVE-2021-21218: Uninitialized Use in PDFium. Reported by Zhou Aiting (@zhouat1) of Qihoo 360 Vulcan Team on 2021-01-14<\/li>\n<li>[$500][1166972] Low CVE-2021-21219: Uninitialized Use in PDFium. Reported by Zhou Aiting (@zhouat1) of Qihoo 360 Vulcan Team on 2021-01-15<\/li>\n<\/ul>\n<p>Einige Schwachstellen sind mit der Einstufung High versehen. Es wurde auch ein 0-day-Bug, der auf der Pwn2Own-Hackerkonferenz ausgenutzt wurde, beseitigt. Weitere Probleme wurden intern durch Audits und Fuzzing aufgesp\u00fcrt und behoben. Der Browser sollte also z\u00fcgig aktualisiert werden. Die Chrome-Version f\u00fcr Windows, Mac und Linux wird in den n\u00e4chsten Tagen \u00fcber die automatische Update-Funktion auf die Systeme ausgerollt. Sie k\u00f6nnen diese Build aber auch <a href=\"https:\/\/www.google.com\/intl\/de_de\/chrome\/\" target=\"_blank\" rel=\"noopener\">hier herunterladen<\/a>.<\/p>\n<h2>Neuerungen in Chrome 90.0.4430.72<\/h2>\n<p>Im Change-Log im Chromium-Blog gibt es keine Hinweise, was im 90er-Entwicklungszweig neu ist. Google hat im M\u00e4rz 2021 in <a href=\"https:\/\/blog.chromium.org\/2021\/03\/a-safer-default-for-navigation-https.html\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> angek\u00fcndigt, dass https-Protokoll standardm\u00e4\u00dfig ab der Version 90 im Chrome-Browser zu verwenden. Tippt ein Benutzer also nur\u00a0 eine URL im Adressfeld ein, wird versucht, die Verbindung per https aufzubauen. Bleeping Computer weist <a href=\"https:\/\/www.bleepingcomputer.com\/news\/google\/google-chrome-90-released-with-https-as-the-default-protocol\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> zudem darauf hin, dass der neue Browser ein verbessertes NAT-Slipstreaming besitzt. Dazu werden entsprechende Angriffe \u00fcber\u00a0 FTP-, HTTP- und HTTPS-Verbindungen auf Port 554 blockiert.<\/p>\n<blockquote><p>NAT-Slipstreaming-Angriffe missbrauchen die Application Level Gateway (ALG)-Funktion eines Routers, um Zugriff auf einen beliebigen Port in einem internen Netzwerk zu erhalten, wodurch Bedrohungsakteure m\u00f6glicherweise Zugriff auf Dienste erhalten, die normalerweise durch den Router gesichert sind.<\/p><\/blockquote>\n<p>Dieses Feature hat aber eine Vorgeschichte: Google hatte den Port schon mal gesperrt, diesen aber wieder ge\u00f6ffnet, nachdem Google Beschwerden von Entwicklern erhalten hatte. Google hat aber festgestellt, dass der Port nur f\u00fcr etwa 0,00003 % aller Anfragen verwendet wird.\u00a0 Aufgrund der geringen Nutzung blockiert Google den Port nun erneut.<\/p>\n<p>Google Chrome 90 erh\u00e4lt zudem einen AV1-Encoder, um die Leistung in Videokonferenzsoftware mit WebRTC zu erh\u00f6hen. Google nennt eine h\u00f6here Komprimierungseffizienz als andere Arten der Videokodierung (gegen\u00fcber VP9 und anderen Codecs) als Vorteil, wodurch der Bandbreitenverbrauch reduziert und die visuelle Qualit\u00e4t verbessert wird. Das hilft in Netzwerken mit geringer Bandbreite bei Videokonferenzen und der Bildschirmfreigabe.<\/p>\n<p>Die Google Chrome Tab Search-Funktion wird in Chrome 90 weiter ausgerollt, so dass mehr Nutzer diese Funktion erhalten, ohne sie \u00fcber ein Flag aktivieren zu m\u00fcssen. Mit der Tab-Suchfunktion k\u00f6nnen Nutzer Ihre offenen Tabs unter allen ge\u00f6ffneten Browserfenstern durchsuchen, um eine bestimmte Seite zu finden. Eine Kurz\u00fcbersicht der Neuerungen haben die Kollegen von deskmodder.de <a href=\"https:\/\/www.deskmodder.de\/blog\/2021\/04\/15\/google-chrome-90-0-4430-72-behebt-37-sicherheitsluecken-und-kommt-mit-neuen-funktionen\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> zusammengestellt. Und bei Bleeping Computer kann man Neuerungen f\u00fcr Entwickler <a href=\"https:\/\/www.bleepingcomputer.com\/news\/google\/google-chrome-90-released-with-https-as-the-default-protocol\/\" target=\"_blank\" rel=\"noopener\">nachlesen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Google hat zum 14. April 2021 den Google Chrome 90.0.4430.72 freigegeben. Es ist ein neuer Entwicklungszweig mit einigen Neuerungen. Der Browser sollte zeitnah aktualisiert werden, da Google 37Schwachstelle schlie\u00dft. Hier ein kurzer \u00dcberblick.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426,185],"tags":[406,4328,4315],"class_list":["post-252242","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","category-update","tag-chrome","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252242","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252242"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252242\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}