![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Chrome-01.jpg\")
[English]Google ist mit seinem Chromium-Browser und dem Google Chrome sehr erfolgreich und beherrscht den Markt der Browser unter Windows und Android. Der Google Chrome-Browser ist kostenlos und auf vielen Systemen in Benutzung. Mir stellt sich aber die Frage, ob die Entwickler in die falsche Richtung st\u00fcrmen und sich der Browser zum Problemb\u00e4r entwickelt?<\/p>\n
Urspr\u00fcnglich war es nur so ein Gef\u00fchl: Alle paar Tage flattert ein Update des Google Chrome auf die Systeme der Benutzer – und gelegentlich kommt es zu Problemen. Aber dann kamen einige Dinge zusammen, die bei mir Fragen aufwarfen. Hier ein kurzer Abriss, was mich gerade bez\u00fcglich der Google Chromium-Entwicklung bewegt.<\/p>\n
Es war eine Meldung, die vor einigen Tagen durch die IT-Medien ging: Die neusten Versionen des Chromium-Browsers (Google Chrome, Microsoft Edge) wurden um die M\u00f6glichkeit beschnitten, den Standard-Suchanbieter zu l\u00f6schen. Vorkonfiguriert sind Anbieter wie Bing, Yahoo, Google, DuckDuckGo und Ecosia. Einer dieser Anbieter ist als Standard gesetzt: Bing bei Microsoft Chromium Edge und Google beim Chrome.<\/p>\n
Man kann weitere Suchanbieter zur Liste hinzuf\u00fcgen und den Standard-Suchanbieter aus der Liste der verf\u00fcgbaren Suchanbieter ausw\u00e4hlen. Was aber nicht mehr funktioniert, ist die fr\u00fchere M\u00f6glichkeit, die vorkonfigurierten Suchanbieter auch zu l\u00f6schen. Martin Geu\u00df hatte dies beispielsweise hier<\/a> aufgegriffen und weist darauf hin, dass nur noch der Vivaldi-Browser diese Funktion besitzt.<\/p>\n Kurz danach meldete sich Blog-Leser Jan V. bei mir per E-Mail und wies auf ein weiteres Problem hin, in welches er als Administrator durch die Entscheidung Googles, dem Chrome alle 6 Wochen ein Versionsupdate zu spendieren, l\u00e4uft. Er besch\u00e4ftig sich u.a. mit dem Windows-Patchmanagement und dem Deployment von Anwendungen auf Fat-Clients und Citrix XenApps\/Terminalservern. In dem Zusammenhang verzweifelt er h\u00e4ufig an der grottenschlechten Informationslage der Hersteller zu neuen Versionen, Updates, etc. – allen voran Microsoft. Jan schrieb mir, dass ihm die aktuellen Updates von Chrome und Chromium Edge Sorgen bereiten:<\/p>\n Zur Zeit treiben mich die aktuellen Updates der Zwillingsgeschwister Google Chrome und Chromium Edge um. Ich m\u00f6chte gar nicht zum Bashing eines bestimmten Browsers beitragen, ich muss ja im Unternehmensumfeld nur daf\u00fcr sorgen, dass die jeweils abgesicherten Versionen auf den Endpunkten unserer Anwender zur Verf\u00fcgung stehen. Die Update-Zyklen vom Chrome\/Edge treiben mich in den Wahnsinn.<\/p><\/blockquote>\n Daher hat er mit mir Kontakt aufgenommen, weil er dachte, dass das Problem vielleicht auch andere aus der Leserschaft interessiert. In seiner Mail schrieb Jan weiter:<\/p>\n Thema ist der extended stable Kanal jeweils f\u00fcr Chrome und Edge<\/p>\n Es ist extrem aufw\u00e4ndig, alle paar \"Tage\" eine neue Version der Browser auszurollen. F\u00fcr den Privatanwender, der nach neuen Funktionen giert, waren der sechs-Wochen Release-Zyklus vor Einf\u00fchrung des extended stable Kanals sicherlich kaum auszuhalten (\"oh toll, endlich runde Ecken oder doch wieder eckige Rundungen\").<\/p>\n Als Admin im Unternehmensumfeld hat man aber auch noch andere Dinge zu tun, als teilweise mehrmals innerhalb von ein paar Tagen eine neue Version eines Browsers auszurollen. Dazu kommt dann auch noch die Notwendigkeit, die Konfiguration des Browsers zu \u00fcberpr\u00fcfen und ggf. anzupassen.<\/p><\/blockquote>\n Jan wies darauf hin, dass das BSI z.B. f\u00fcr den Sektor der \u00f6ffentlichen Verwaltungen mit seinen \"Mindeststandard f\u00fcr Web-Browser<\/a>\" sehr konkrete Vorgaben gibt, die auch f\u00fcr die private Wirtschaft bindend sind, wenn es sich um kritische Infrastrukturen (KRITIS<\/a>) handelt. In den BSI Mindeststandards hei\u00dft es u.a.:<\/p>\n WB.2.3.04 \u2013 Basiskonfiguration<\/i> Dazu meint Jan allerdings, dass es doof sei, wenn es, – wie in dem sechs-Wochen Zyklus \u00fcblich, ein Update aufgrund einer kritischen L\u00fccke (nach BSI ein CVSS v3.1 Wert ab 9.0) nur im Zusammenhang mit einer neuen Hauptversion gibt und die neue Hauptversion auch gleich wieder einen ganzen Sack voll neu zu konfigurierende Einstellungen hat.<\/p>\n Google hat ja mit der Version 94 den \"extended stable\" Kanal eingef\u00fchrt – und Microsoft zieht mit dem Chromium Edge nach. Das hei\u00dft also nur noch 8 Wochen Support f\u00fcr eine gerade Hauptversion. Das Problem, auf welches Jan hinweist:<\/p>\n F\u00fcr den Chrome gibt es aber keine offizielle Quelle f\u00fcr Installationspakete des extended stable Kanals. Google verweist auf den \"Updater\", den man ja per GPO auf extended stable konfigurieren kann. Bl\u00f6de nur, wenn man den Updater aufgrund des eigenen Deployment-Verfahrens nicht nutzen kann.<\/p>\n Wenn man Anwendungen und ganze Umgebungen (XenApp \u00fcber Citix Provisioning und\/oder Machine Creation Service) vor dem produktiven Einsatz pilotieren muss, m\u00f6chte man sich ungern auf einen Updater verlassen. Das ist kein verl\u00e4ssliches Paketieren!<\/p>\n Bei Microsoft kommt man schon eher an eine MSI (WSUS\/Update Catalog, Download \u00fcber diese Seite<\/a>), nur wei\u00df man eigentlich nicht so recht, ob die Sicherheitsl\u00fccken der aktuellsten \"normalen\" Version nun auch im extended stable geschlossen wurden.<\/p><\/blockquote>\n Jan f\u00fchrt an, dass Chrome v97.0.1072.69 mit dem Fix f\u00fcr die kritische L\u00fccke CVE-2022-0289 im stable-Kanal zum Download angeboten wird. Die Release-Notes schweigen sich aber aus, ob die seinerzeit aktuellste Version der 96er Reihe, die v96.0.1054.75, ebenfalls einen Fix f\u00fcr die genannte kritische L\u00fccke mitbringt!<\/p>\n Jan hat mir in der Mail noch ein wenig die auftretenden Probleme skizziert. Er schrieb dazu, dass der eingesetzte Schwachstellen-Scanner (Flexera SVM, ehemals Secunia CSI) auf einem PC mit installiertem Edge v96.0.1054.75 folgendes meldet:<\/p>\n Description: Multiple vulnerabilities have been reported in Microsoft Edge (Chromium-Based), where multiple have an unknown impact and the other ones can be exploited by malicious people to compromise a vulnerable system.<\/i> Jan hat dann das Dilemma in folgenden zwei Punkten zusammengefasst:<\/p>\n und erg\u00e4nzt:<\/p>\n Und wenn man sich entschlie\u00dft, doch notgedrungen nach vier Wochen das aktuelle stable release zu nutzen, dann wird man auch noch von so unfeinen Dingen, wie dem im Edge seit v97 neuerdings eingef\u00fchrten Startverhalten<\/a> unangek\u00fcndigt \u00fcberrascht (da bin ich auch erst \u00fcber Ihren Blog dr\u00fcber gestolpert, dass das nicht mit der bei uns eh nicht nutzbaren start-up boost Funktion zu tun hat).<\/p>\n Zudem m\u00f6chte ich hier gar nicht \u00fcber mein Leid mit den unausgegorenen GPO-Vorlagen klagen (bei Chrome ist es von Version zu Version ein illustres Ratespiel, in welchem Bereich sich Policy-Settings wiederfinden).<\/p><\/blockquote>\n Jan meint, dass es so m\u00fchsam sei und nur noch gebastelt werde, jedenfalls ist er von dieser Schnelligkeit der Entwicklung und den sich ergebenden Implikationen f\u00fcr das Tagesgesch\u00e4ft nur noch genervt sei. Was Konfiguration und Deployment angeht, sei der Firefox ESR dagegen ein Traum, meint er.<\/p>\n In diesem Kommentar<\/a> zu einem Chrome-Browser-Update hatte ich Blog-Leser Bolko bereits gemeldet und wies darauf hin, dass es f\u00fcr Debian im bookworm bzw testing-Zweig Chromium nicht mehr auf normalem Weg gibt. Der Grund: Weil es aufgrund der zu gro\u00dfen Versionsunterschiede der Libraries aus den Repositories genommen wurde. Bolko gibt auch Hinweise, wie der Browser dort trotzdem bezogen werden kann.<\/p>\n Da stand pl\u00f6tzlich die Frage im Raum: Ist die Entwicklung des Browsers noch auf einem guten Weg und in einer gesunden Richtung? Wie sieht es aus eurer Sicht diesbez\u00fcglich aus?<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Google ist mit seinem Chromium-Browser und dem Google Chrome sehr erfolgreich und beherrscht den Markt der Browser unter Windows und Android. Der Google Chrome-Browser ist kostenlos und auf vielen Systemen in Benutzung. Mir stellt sich aber die Frage, ob die … Weiterlesen Update-Frequenz treibt Admins in den Wahnsinn<\/h2>\n
\nDie Einrichtung MUSS den Web-Browser in folgender Basiskonfiguration ausliefern:<\/i>
\n…<\/i>
\np) Wenn Browser-Updates eingespielt werden, MUSS \u00fcberpr\u00fcft werden, ob diese die Konfiguration<\/i>
\nver\u00e4ndern.<\/i>
\n…<\/i>
\nWB.2.3.07 \u2013 Updates\/Patches<\/i>
\na) Der Betreiber MUSS Updates nach WB.2.2.02 unverz\u00fcglich einspielen.<\/i>
\nb) Unabh\u00e4ngig von der Verf\u00fcgbarkeit eines Updates MUSS der Betreiber sp\u00e4testens 7 Tage nach<\/i>
\nBekanntwerden einer kritischen Schwachstelle31 Ma\u00dfnahmen zur Mitigation ergreifen. Dies KANN bspw.<\/i>
\nim Rahmen der vom BSI empfohlenen Zwei-Browser-Strategie die zwischenzeitliche Abschaltung des<\/i>
\nbetroffenen Browsers bedeuten.<\/i>
\n…<\/i><\/p><\/blockquote>\n
\nThe vulnerabilities are reported in versions prior to 97.0.1072.69.<\/i>
\nSolution: Update to version 97.0.1072.69.<\/i>
\nOriginal Advisory<\/a><\/i><\/p>\n\n
Chromium bei Debian bookworm rausgeflogen<\/h2>\n