Chrome 80 mit Sicherheitsfixes und vielen Neuerungen

[English]Die Google-Entwickler haben zum 4. Februar 2020 den Chrome 80 freigegeben. Das Browser-Update schließt insgesamt 56 Sicherheitslücken. Mit dieser Browserversion kommen Einschränkungen für Cookies und Adblocker sowie weiteren Änderungen.


Anzeige

Änderungen und Neuerungen in Chrome 80

Die Änderungen in Chrome 80 wurde von den Entwicklern in diesem Blog-Beitrag angekündigt. So ist die Unterstützung für FTP abgekündigt und entfernt worden. Für die Entwickler von Adblockern ist relevant, dass die lange angekündigte Änderungen (siehe Chrome: Google geht auf Adblocker-Entwickler zu) in Bezug auf den Wegfall der betreffenden API jetzt stattfindet. Chrome filtert nun Werbeelemente, und Adblocker müssen dem Browser entsprechende Listen übergeben. heise hatte im November 2019 dazu was geschrieben.

Neu ist auch, dass ist die Durchsetzung eines sicheren Standard-Cookie-Klassifizierungssystems, das für die Behandlung von Cookies ohne den SameSite-Wert SameSite=Lax Cookies eingeführt wurde. Die SameSite-Attribute für Cookies sind jetzt Pflicht. Laut Google werden nur Cookies mit dem Wert ’SameSite=None; Secure’ für Drittanbietern verfügbar sein, wenn der Zugriff über sichere https-Verbindungen erfolgt.

Google möchte, so schreibt heise hier, ‘mit der gezielten Zuschreibung das Tracken über mehrere Seiten hinweg transparenter machen und feinere Einstellungen beim Zulassen oder Blockieren von Cookies ermöglichen.’ Dieses Feature könnte die Benutzung von Webseiten aber beeinflussen und soll daher ab 17. Februar 2020 für eine begrenzte Anzahl Benutzer ausgerollt werden, wie ich hier gelesen habe. Den Kollegen von deskmodder.de ist in diesem Artikel aufgefallen, dass auf der Seite The Register über das Problem berichtet wird, dass der Google Chrome nicht zur DSGVO kompatibel sei. Bleeping Computer geht in diesem Beitrag auf weitere Änderungen im Chrome 80 ein.

Sicherheitsfixes im Chrome 80

In den Release Notes sind für den Chrome 80.0.3987.87 für den Desktop insgesamt 56 Sicherheitslücken als behoben aufgeführt.

  • [$5000][1034394] High CVE-2020-6381: Integer overflow in JavaScript. Reported by The UK’s National Cyber Security Centre (NCSC) on 2019-12-09
  • [$2000][1031909] High CVE-2020-6382: Type Confusion in JavaScript. Reported by Soyeon Park and Wen Xu from SSLab, Gatech on 2019-12-08
  • [$500][1020745] High CVE-2019-18197: Multiple vulnerabilities in XML. Reported by BlackBerry Security Incident Response Team on 2019-11-01
  • [$500][1042700] High CVE-2019-19926: Inappropriate implementation in SQLite. Reported by Richard Lorenz, SAP on 2020-01-16
  • [$N/A][1035399] High CVE-2020-6385: Insufficient policy enforcement in storage. Reported by Sergei Glazunov of Google Project Zero on 2019-12-18
  • [$N/A][1038863] High CVE-2019-19880, CVE-2019-19925: Multiple vulnerabilities in SQLite. Reported by Richard Lorenz, SAP on 2020-01-03
  • [$N/A][1042535] High CVE-2020-6387: Out of bounds write in WebRTC. Reported by Natalie Silvanovich of Google Project Zero on 2020-01-16
  • [$N/A][1042879] High CVE-2020-6388: Out of bounds memory access in WebAudio. Reported by Sergei Glazunov of Google Project Zero on 2020-01-16
  • [$N/A][1042933] High CVE-2020-6389: Out of bounds write in WebRTC. Reported by Natalie Silvanovich of Google Project Zero on 2020-01-16
  • [$N/A][1045874] High CVE-2020-6390: Out of bounds memory access in streams. Reported by Sergei Glazunov of Google Project Zero on 2020-01-27
  • [$10000][1017871] Medium CVE-2020-6391: Insufficient validation of untrusted input in Blink. Reported by Michał Bentkowski of Securitum on 2019-10-24
  • [$5000][1030411] Medium CVE-2020-6392: Insufficient policy enforcement in extensions. Reported by Microsoft Edge Team on 2019-12-03
  • [$5000][1035058] Medium CVE-2020-6393: Insufficient policy enforcement in Blink. Reported by Mark Amery on 2019-12-17
  • [$3000][1014371] Medium CVE-2020-6394: Insufficient policy enforcement in Blink. Reported by Phil Freo on 2019-10-15
  • [$3000][1022855] Medium CVE-2020-6395: Out of bounds read in JavaScript. Reported by Pierre Langlois from Arm on 2019-11-08
  • [$3000][1035271] Medium CVE-2020-6396: Inappropriate implementation in Skia. Reported by William Luc Ritchie on 2019-12-18
  • [$2000][1027408] Medium CVE-2020-6397: Incorrect security UI in sharing. Reported by Khalil Zhani on 2019-11-22
  • [$2000][1032090] Medium CVE-2020-6398: Uninitialized use in PDFium. Reported by pdknsk on 2019-12-09
  • [$2000][1039869] Medium CVE-2020-6399: Insufficient policy enforcement in AppCache. Reported by Luan Herrera (@lbherrera_) on 2020-01-07
  • [$1000][1038036] Medium CVE-2020-6400: Inappropriate implementation in CORS. Reported by Takashi Yoneuchi (@y0n3uchy) on 2019-12-27
  • [$500][1017707] Medium CVE-2020-6401: Insufficient validation of untrusted input in Omnibox. Reported by Tzachy Horesh on 2019-10-24
  • [$500][1029375] Medium CVE-2020-6402: Insufficient policy enforcement in downloads. Reported by Vladimir Metnew (@vladimir_metnew) on 2019-11-28
  • [$TBD][1006012] Medium CVE-2020-6403: Incorrect security UI in Omnibox. Reported by Khalil Zhani on 2019-09-19
  • [$N/A][1024256] Medium CVE-2020-6404: Inappropriate implementation in Blink. Reported by kanchi on 2019-11-13
  • [$N/A][1042145] Medium CVE-2020-6405: Out of bounds read in SQLite. Reported by Yongheng Chen(Ne0) & Rui Zhong(zr33) on 2020-01-15
  • [$N/A][1042254] Medium CVE-2020-6406: Use after free in audio. Reported by Sergei Glazunov of Google Project Zero on 2020-01-15
  • [$N/A][1042578] Medium CVE-2019-19923: Out of bounds memory access in SQLite. Reported by Richard Lorenz, SAP on 2020-01-16
  • [$1000][1026546] Low CVE-2020-6408: Insufficient policy enforcement in CORS. Reported by Zhong Zhaochen of andsecurity.cn on 2019-11-20
  • [$1000][1037889] Low CVE-2020-6409: Inappropriate implementation in Omnibox. Reported by Divagar S and Bharathi V from Karya Technologies on 2019-12-26
  • [$500][881675] Low CVE-2020-6410: Insufficient policy enforcement in navigation. Reported by evi1m0 of Bilibili Security Team on 2018-09-07
  • [$500][929711] Low CVE-2020-6411: Insufficient validation of untrusted input in Omnibox. Reported by Khalil Zhani on 2019-02-07
  • [$N/A][968505] Low CVE-2020-6412: Insufficient validation of untrusted input in Omnibox. Reported by Zihan Zheng (@zzh1996) of University of Science and Technology of China on 2019-05-30
  • [$N/A][1005713] Low CVE-2020-6413: Inappropriate implementation in Blink. Reported by Michał Bentkowski of Securitum on 2019-09-19
  • [$N/A][1021855] Low CVE-2020-6414: Insufficient policy enforcement in Safe Browsing. Reported by Lijo A.T on 2019-11-06
  • [$N/A][1029576] Low CVE-2020-6415: Inappropriate implementation in JavaScript. Reported by Avihay Cohen @ SeraphicAlgorithms on 2019-11-30
  • [$N/A][1031895] Low CVE-2020-6416: Insufficient data validation in streams. Reported by Woojin Oh(@pwn_expoit) of STEALIEN on 2019-12-08
  • [$N/A][1033824] Low CVE-2020-6417: Inappropriate implementation in installer. Reported by Renato “Wrath” Moraes and Altieres “FallenHawk” Rohr on 2019-12-13

Zusätzlich erwähnen die Release-Note noch Various fixes from internal audits, fuzzing and other initiatives. Details wird Google aber aus Sicherheitsgründen nicht bekannt geben.

Verfügbarkeit und Download

Die Chrome-Version 80.0.3987.87 ist für Windows, Mac und Linux verfügbar und wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können es hier herunterladen.


Anzeige
Dieser Beitrag wurde unter Google Chrome abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Chrome 80 mit Sicherheitsfixes und vielen Neuerungen


  1. Anzeige
  2. Nobody sagt:

    Schaut so aus, als ob Google Graf Zahl eingestellt und ihn mit der Vergabe der Versionsnummern beauftragt hat. ;-)

  3. Anzeige

  4. Michael Bickel sagt:

    … die fragwürdige x-client-data ID, über die The Register berichtet, soll laut WindowsArea.de übrigens nicht bei Edge im Code stehen. MS hat dies wohl entfernt. Früher war ich mal begeisterter Chrome-Nutzer, aber jetzt wären meine Bedenken deutlich größer als bei MS.

  5. Tom sagt:

    Unter VIVALDI (Version 2.11.1811.38) wurde Chromium mittlerweile auf Version 80.0.3987.107 angehoben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.