Kritisches Sicherheitsupdate auf Google Chrome 86.0.4240.111

Publiziert am 21. Oktober 2020 von Günter Born

[English]Google hat zum 20. Oktober 2020 den Google Chrome Browser auf die Version 86.0.4240.111 aktualisiert. Dieses Update schließt eine 0-Day-Schwachstelle CVE-2020-15999 in der (auch in anderen Softwareprodukten wie Linux) FreeType-Bibliothek, der bereits ausgenutzt wird.

Anzeige

Chrome 86.0.4240.111 mit Sicherheitsfixes

Der Chrome 86.0.4240.111 für den Desktop enthält eine Reihe an Fixes (siehe Changelog). Im Google-Blog gibt es diesen Beitrag mit der Ankündigung, die auch die Liste der geschlossenen Schwachstellen auflistet.

  • [$500][1125337] High CVE-2020-16000: Inappropriate implementation in Blink. Reported by amaebi_jp on 2020-09-06
  • [$TBD][1135018] High CVE-2020-16001: Use after free in media. Reported by Khalil Zhani on 2020-10-05
  • [$TBD][1137630] High CVE-2020-16002: Use after free in PDFium. Reported by Weipeng Jiang (@Krace) from Codesafe Team of Legendsec at Qi'anxin Group on 2020-10-13
  • [$NA][1139963] High CVE-2020-15999: Heap buffer overflow in Freetype. Reported by Sergei Glazunov of Google Project Zero on 2020-10-19
  • [$3000][1134960] Medium CVE-2020-16003: Use after free in printing. Reported by Khalil Zhani on 2020-10-04

Fast alle Schwachstellen sind mit der Einstufung High versehen. Insbesondere die Heap Buffer Overflow Schwachstelle CVE-2020-15999 in der Freetype-Font-Bibliothek hat Google wohl zum Patchen bewogen. Dazu merkt man an, dass bekannt sei, dass die Schwachstelle bereits ausgenutzt werde.

Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können diese Build aber auch hier herunterladen. Updates für Edge, Vivaldi und weitere Clones sollten ebenfalls (ggf. in den kommenden Tagen) verfügbar sein.

Angriffe auf CVE-2020-15999 in FreeType-Bibliothek

ZDNet berichtet hier Details. Laut Ben Hawkes, dem Leiter des Project Zero-Teams, wurde ein Versuch bemerkt, diesen FreeType-Bug zu missbrauchen, um Angriffe gegen Chrome-Benutzer zu starten. Ben Hawkes drängte nun andere Anbieter von Anwendungen, die dieselbe FreeType-Bibliothek verwenden, ihre Software ebenfalls zu aktualisieren. Denn es ist davon auszugehen, dass Cyber-Kriminelle diese Art Angriffe auf andere Anwendungen, die die Bibliothek verwenden, zu verlagern. Ein Patch für diesen Fehler ist in FreeType 2.10.4 enthalten, das am 20. Oktober 2020 veröffentlicht wurde.

Anmerkung: Hier sollten Linux-Nutzer reagieren, da dort FreeType im Einsatz ist (siehe z.B. diesen debian Eintrag).

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Google Chrome, Sicherheit, Software, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Kritisches Sicherheitsupdate auf Google Chrome 86.0.4240.111

  1. Marc Stüttem sagt:
    21. Oktober 2020 um 12:55 Uhr

    Vielleicht ein interessanter Beitrag zum Thema Security und Google Chrome Extensions.
    Der beliebte "Nano Adblocker" wurde von einem neuen Softwareentwickler übernommen, der wohl prompt Malware in die Extension eingeschleust hat.
    Vielleicht setzt den ja der ein oder andere hier ein.

    https://chris.partridge.tech/2020/extensions-the-next-generation-of-malware/help-for-users/

    Antworten

Schreibe einen Kommentar zu Marc Stüttem Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.