Chrome 79.0.3945.130

[English]Die Google-Entwickler haben gerade den Chrome 79.0.3945.130 freigegeben. Das Browser-Update schließt insgesamt 11 Sicherheitslücken. Das ‘Highlight’ ist aber, dass diese Browserversion die kürzlich von der NSA gemeldete CryptAPI-Schwachstelle adressiert.


Anzeige

Sicherheitsfixes im Chrome

In den Release Notes sind für den Desktop nachfolgend genannten Sicherheitsfixes aufgeführt.

  • [1018677] Critical CVE-2020-6378: Use-after-free in speech recognizer. Reported by Antti Levomäki and Christian Jalio from Forcepoint on 2019-10-28
  • [1033407] High CVE-2020-6379: Use-after-free in speech recognizer. Reported by Guang Gong of Alpha Team, Qihoo 360 on 2019-12-12
  • [1032170] High CVE-2020-6380: Extension message verification error. Reported by Sergei Glazunov of Google Project Zero on 2019-12-09
  • [1040772] High N/A: Protections to mitigate Windows ECC certificate validation vulnerability CVE-2020-0601.

Zusätzlich erwähnen die Release-Note noch [1042448] Various fixes from internal audits, fuzzing and other initiatives. Eine Liste der Änderungen findet sich auf dieser log-Seite. Details wird Google aber aus Sicherheitsgründen nicht bekannt geben.

Fängt die Windows CryptoAPI-Schwachstelle ab

Was mir in den Release-Notes nicht aufgefallen ist: Der neue Chrome enthält unter Windows Schutzmechanismen gegen die kürzlich von der NSA an Microsoft gemeldete Schwachstelle CVE-2020-0601. Eine Spoofing-Schwachstelle in der Windows-CryptoAPI kann von Angreifern genutzt werden, um bösartigen Code als legitimen Prozess auszuführen und so die Erkennung auf einem nicht gepatchten System zu vermeiden. Zudem sind Man-in-the-middle-Angriffe auf https-Verbindungen denkbar, wo Angreifer die verschlüsselte Kommunikation mitlesen können.

Microsoft gibt an, dass Windows 10, Windows Server 2016 und 2019 betroffen sind und hat entsprechende cumulative Updates zum Schließen der Schwachstelle bereitgestellt. Ich hatte im Blog-Beitrag Windows: Kommt heute ein kritischer Kryptografie-Patch? darüber berichtet. Der neue Chrome verhindert, dass auf ungepatchten Systemen diese Schwachstelle CVE-2020-0601 ausgenutzt werden kann.

Verfügbarkeit und Download

Die Chrome-Version 79.0.3945.130 ist für Windows, Mac und Linux verfügbar und wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können es hier herunterladen.


Anzeige


Dieser Beitrag wurde unter Google Chrome, Sicherheit, Update abgelegt und mit Chrome 79.0.3945.130, Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Chrome 79.0.3945.130


  1. Anzeige
  2. Dolce Vita sagt:

    Einfach crypt32.dll zu nutzen.. die Chromebois können echt noch von Mozilla lernen..

    NSS-Library for life!

  3. Tom sagt:

    Chromium unter VIVALDI wurde sogar auf Version 79.0.3945.131 aktualisiert!

  4. Anzeige

  5. JohnRipper sagt:

    Rolling

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.