Chrome 84.0.4147.89 freigegeben

[English]Die Google-Entwickler haben zum 14. Juli 2020 den Chrome Browser auf die Version 84.0.4147.89 aktualisiert. Diese Version schließt Sicherheitslücken in der Desktop-Version des Google Browsers. Zudem werden TLS 1.0 und 1.1 entfernt.


Anzeige

Google hat diesen Blog-Beitrag zu 84.0.4147.89 veröffentlicht. Ab Chrome 84 entfernt Google jetzt die TLS 1.0- und 1.1-Unterstützung. Rufen Besucher eine Website ab, die diese älteren Zertifikate verwendet, werden sie mit einer ganzseitigen Zwischenseite begrüßt, die angibt, dass die “Verbindung nicht vollständig sicher ist”, wie Bleeping Computer hier schreibt. Mit dem Sicherheitsupdate wurden 38 Sicherheitslücken von Google im Chrome-Browser für den Desktop gefixt.

  • [$TBD][1103195] Critical CVE-2020-6510: Heap buffer overflow in background fetch. Reported by Leecraso and Guang Gong of 360 Alpha Lab working with 360 BugCloud on 2020-07-08
  • [$5000][1074317] High CVE-2020-6511: Side-channel information leakage in content security policy. Reported by Mikhail Oblozhikhin on 2020-04-24
  • [$5000][1084820] High CVE-2020-6512: Type Confusion in V8. Reported by nocma, leogan, cheneyxu of WeChat Open Platform Security Team on 2020-05-20
  • [$2000][1091404] High CVE-2020-6513: Heap buffer overflow in PDFium. Reported by Aleksandar Nikolic of Cisco Talos on 2020-06-04
  • [$TBD][1076703] High CVE-2020-6514: Inappropriate implementation in WebRTC. Reported by Natalie Silvanovich of Google Project Zero on 2020-04-30
  • [$TBD][1082755] High CVE-2020-6515: Use after free in tab strip. Reported by DDV_UA on 2020-05-14
  • [$TBD][1092449] High CVE-2020-6516: Policy bypass in CORS. Reported by Yongke Wang(@Rudykewang) and Aryb1n(@aryb1n) of Tencent Security Xuanwu Lab (腾讯安全玄武实验室) on 2020-06-08
  • [$TBD][1095560] High CVE-2020-6517: Heap buffer overflow in history. Reported by ZeKai Wu (@hellowuzekai) of Tencent Security Xuanwu Lab on 2020-06-16
  • [$3000][986051] Medium CVE-2020-6518: Use after free in developer tools. Reported by David Erceg on 2019-07-20
  • [$3000][1064676] Medium CVE-2020-6519: Policy bypass in CSP. Reported by Gal Weizman (@WeizmanGal) of PerimeterX on 2020-03-25
  • [$1000][1092274] Medium CVE-2020-6520: Heap buffer overflow in Skia. Reported by Zhen Zhou of NSFOCUS Security Team on 2020-06-08
  • [$500][1075734] Medium CVE-2020-6521: Side-channel information leakage in autofill. Reported by Xu Lin (University of Illinois at Chicago), Panagiotis Ilia (University of Illinois at Chicago), Jason Polakis (University of Illinois at Chicago) on 2020-04-27
  • [$TBD][1052093] Medium CVE-2020-6522: Inappropriate implementation in external protocol handlers. Reported by Eric Lawrence of Microsoft on 2020-02-13
  • [$N/A][1080481] Medium CVE-2020-6523: Out of bounds write in Skia. Reported by Liu Wei and Wu Zekai of Tencent Security Xuanwu Lab on 2020-05-08
  • [$N/A][1081722] Medium CVE-2020-6524: Heap buffer overflow in WebAudio. Reported by Sung Ta (@Mipu94) of SEFCOM Lab, Arizona State University on 2020-05-12
  • [$N/A][1091670] Medium CVE-2020-6525: Heap buffer overflow in Skia. Reported by Zhen Zhou of NSFOCUS Security Team on 2020-06-05
  • [$1000][1074340] Low CVE-2020-6526: Inappropriate implementation in iframe sandbox. Reported by Jonathan Kingston on 2020-04-24
  • [$500][992698] Low CVE-2020-6527: Insufficient policy enforcement in CSP. Reported by Zhong Zhaochen of andsecurity.cn on 2019-08-10
  • [$500][1063690] Low CVE-2020-6528: Incorrect security UI in basic auth. Reported by Rayyan Bijoora on 2020-03-22
  • [$N/A][978779] Low CVE-2020-6529: Inappropriate implementation in WebRTC. Reported by kaustubhvats7 on 2019-06-26
  • [$N/A][1016278] Low CVE-2020-6530: Out of bounds memory access in developer tools. Reported by myvyang on 2019-10-21
  • [$TBD][1042986] Low CVE-2020-6531: Side-channel information leakage in scroll to text. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2020-01-17
  • [$N/A][1069964] Low CVE-2020-6533: Type Confusion in V8. Reported by Avihay Cohen @ SeraphicAlgorithms on 2020-04-11
  • [$N/A][1072412] Low CVE-2020-6534: Heap buffer overflow in WebRTC. Reported by Anonymous on 2020-04-20
  • [$TBD][1073409] Low CVE-2020-6535: Insufficient data validation in WebUI. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2020-04-22
  • [$TBD][1080934] Low CVE-2020-6536: Incorrect security UI in PWAs. Reported by Zhiyang Zeng of Tencent security platform department on 2020-05-09
  • We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.
    As usual, our ongoing internal security work was responsible for a wide range of fixes:
    [1105224] Various fixes from internal audits, fuzzing and other initiatives

Viele der Schwachstellen wurden mit AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer oder AFL erkannt.

Die Chrome-Version84.0.4147.89 für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können diese Build aber auch hier herunterladen. Updates für Edge, Vivaldi und weitere Clones werden wohl bald folgen. (via)


Anzeige

Dieser Beitrag wurde unter Google Chrome, Update abgelegt und mit Chrome, Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Chrome 84.0.4147.89 freigegeben


  1. Anzeige
  2. Roli sagt:

    Seit dem Update von Heute sind mir bei allen Benutzerkonten bei Googel Chrome oben rechts Maximum und Schliessen einfach wegradiert.

  3. Bernie sagt:

    wer Sophos Authentication for Thin Clients (SATC) im Einsatz hat, gestern erhielten wir die nachfolgende E-Mail vom Support:

    Lieber Sophos-Kunde,

    Sie erhalten diese E-Mail, da aus unseren Unterlagen hervorgeht, dass Sie Sophos Authentication for Thin Clients (SATC) nutzen.
    Wenn Sie als Standard-Browser Mozilla Firefox nutzen, besteht kein Handlungsbedarf.
    Version 84 von Google Chrome und anderen Chromium-basierten Browsern wird voraussichtlich am 14. Juli 2020 veröffentlicht.
    In dieser Version wird eine Funktion entfernt, die benötigt wird, um Kompatibilität mit SATC sicherzustellen.
    Als Folge ist die Authentisierung mit SATC und der XG Firewall nicht mehr in der Lage, den User korrekt zu identifizieren, der mit dem Web-Browsing-Verkehr in Chrome in Verbindung gebracht wird.
    Dies führt zu Fehlern bei Richtlinien und beim Web Traffic Reporting.

    Wer ist betroffen?
    Betroffen sind alle XG Firewall Kunden, die SATC auf Thin-Client- Bereitstellungen nutzen, die Multi-User-Windows-Services ausführen wie Windows Remote Desktop oder Terminal Services, die Chrome oder Chromium-basierte Browser nutzen.
    Empfohlene Maßnahmen:
    • Nutzen Sie Mozilla Firefox, dieser Browser ist weiterhin voll kompatibel mit SATC.
    • Verhindern Sie das Update in Google Chrome, indem Sie automatische Updates deaktivieren.
    • Wenn Sie den neuen Microsoft Edge Browser nutzen, deaktiveren Sie automatische Updates. Der originale Microsoft Edge Browser ist von dem Problem nicht betroffen.

    Weitere Informationen sowie Links zu Anleitungen, wie Sie die Einstellungen in den verschiedenen Browsern verwalten, finden Sie im folgenden Knowledgebase-Artikel: https://community.sophos.com/kb/en-us/133541
    Sophos arbeitet an einem neuen Ansatz zur Authentisierung an Multi-User-Windows-Services, der mit künftigen Versionen von Google Chrome und anderen Chromium-basierten Browsern kompatibel sein wird.
    Wir halten Sie diesbezüglich auf dem Laufenden und informieren Sie, sobald es hierzu Neuigkeiten gibt.

    Mit freundlichen Grüßen
    Ihr Sophos-Team

    Soviel zu den Empfehlungen einer Firma, die IT-Sicherheitslösungen vertreibt, ansonsten kein weitere Kommentar…

  4. Anzeige

  5. Anonymous sagt:

    EDGE 84 ist nun auch verfügbar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.