Chrome 88.0.4324.96 fixt 36 Schwachstellen

[English]Die Google Entwickler haben den Chrome-Browser zum 19. Januar 2020 in der Desktop-Version für Linux, macOS und Windows auf die Version 88.0.4324.96 aktualisiert. Dieses Sicherheitsupdate fixt 36 Schwachstellen in  den älteren Browserversionen.


Anzeige

Mir ist die Info auf verschiedenen Webseiten (u.a. hier) unter die Augen gekommen. Die Version 88 des Browsers ist ein neuer Entwicklungszweig. Die Google-Entwickler haben im Dezember 2020 diesen Artikel zur Beta des Chrome 88 veröffentlicht. Ab dieser Version wird die FTP-Unterstützung im Browser entfernt. Flash wird ebenfalls nicht mehr unterstützt. Bei Interesse, heise hat diesen Artikel zu den Änderungen veröffentlicht. Auch der Artikel hier bei HowToGeek enthält einen Abriss zu den diversen Neuerungen. Im Google-Blog gibt es diesen Beitrag mit einer Liste der im Chrome 88.0.4324.96 für den Desktop geschlossenen Schwachstellen. Hier einige hervorgehobene Schwachstellen, die beseitigt wurden.

  • [$30000][1137179] Critical CVE-2021-21117: Insufficient policy enforcement in Cryptohome. Reported by Rory McNamara on 2020-10-10
  • [$16000][1161357] High CVE-2021-21118: Insufficient data validation in V8. Reported by Tyler Nighswander (@tylerni7) of Theori on 2020-12-23
  • [$5000][1160534] High CVE-2021-21119: Use after free in Media. Reported by Anonymous on 2020-12-20
  • [$5000][1160602] High CVE-2021-21120: Use after free in WebSQL. Reported by Nan Wang(@eternalsakura13) and Guang Gong of 360 Alpha Lab on 2020-12-21
  • [$5000][1161143] High CVE-2021-21121: Use after free in Omnibox. Reported by Leecraso and Guang Gong of 360 Alpha Lab on 2020-12-22
  • [$5000][1162131] High CVE-2021-21122: Use after free in Blink. Reported by Renata Hodovan on 2020-12-28
  • [$1000][1137247] High CVE-2021-21123: Insufficient data validation in File System API. Reported by Maciej Pulikowski on 2020-10-11
  • [$N/A][1131346] High CVE-2021-21124: Potential user after free in Speech Recognizer. Reported by Chaoyang Ding(@V4kst1z) from Codesafe Team of Legendsec at Qi’anxin Group on 2020-09-23
  • [$N/A][1152327] High CVE-2021-21125: Insufficient policy enforcement in File System API. Reported by Ron Masas (Imperva) on 2020-11-24
  • [$N/A][1163228] High CVE-2020-16044: Use after free in WebRTC. Reported by Ned Williamson of Project Zero on 2021-01-05
  • [$3000][1108126] Medium CVE-2021-21126: Insufficient policy enforcement in extensions. Reported by David Erceg on 2020-07-22
  • [$3000][1115590] Medium CVE-2021-21127: Insufficient policy enforcement in extensions. Reported by Jasminder Pal Singh, Web Services Point WSP, Kotkapura on 2020-08-12
  • [$2000][1138877] Medium CVE-2021-21128: Heap buffer overflow in Blink. Reported by Liang Dong on 2020-10-15
  • [$1000][1140403] Medium CVE-2021-21129: Insufficient policy enforcement in File System API. Reported by Maciej Pulikowski on 2020-10-20
  • [$1000][1140410] Medium CVE-2021-21130: Insufficient policy enforcement in File System API. Reported by Maciej Pulikowski on 2020-10-20
  • [$1000][1140417] Medium CVE-2021-21131: Insufficient policy enforcement in File System API. Reported by Maciej Pulikowski on 2020-10-20
  • [$TBD][1128206] Medium CVE-2021-21132: Inappropriate implementation in DevTools. Reported by David Erceg on 2020-09-15
  • [$TBD][1157743] Medium CVE-2021-21133: Insufficient policy enforcement in Downloads. Reported by wester0x01(https://twitter.com/wester0x01) on 2020-12-11
  • [$TBD][1157800] Medium CVE-2021-21134: Incorrect security UI in Page Info. Reported by wester0x01(https://twitter.com/wester0x01) on 2020-12-11
  • [$TBD][1157818] Medium CVE-2021-21135: Inappropriate implementation in Performance API. Reported by ndevtk on 2020-12-11
  • [$2000][1038002] Low CVE-2021-21136: Insufficient policy enforcement in WebView. Reported by Shiv Sahni, Movnavinothan V and Imdad Mohammed on 2019-12-27
  • [$500][1093791] Low CVE-2021-21137: Inappropriate implementation in DevTools. Reported by bobblybear on 2020-06-11
  • [$500][1122487] Low CVE-2021-21138: Use after free in DevTools. Reported by Weipeng Jiang (@Krace) from Codesafe Team of Legendsec at Qi’anxin Group on 2020-08-27
  • [$N/A][937131] Low CVE-2021-21139: Inappropriate implementation in iframe sandbox. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2019-03-01
  • [$N/A][1136327] Low CVE-2021-21140: Uninitialized Use in USB. Reported by David Manouchehri on 2020-10-08
  • [$N/A][1140435] Low CVE-2021-21141: Insufficient policy enforcement in File System API. Reported by Maciej Pulikowski on 2020-10-20

Eine dieser Schwachstellen wird als kritisch bezeichnet, ein Teil der Schwachstellen ist mit der Einstufung High versehen. Weitere Probleme wurden intern durch Audits und Fuzzing aufgespürt und behoben. Der Browser sollte also zügig aktualisiert werden. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können diese Build aber auch hier herunterladen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Google Chrome, Sicherheit, Update abgelegt und mit Chrome, Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Chrome 88.0.4324.96 fixt 36 Schwachstellen

  1. Bernie sagt:

    Als IT-Admin, meine heutigen (leidigen) Erfahrungen mit der Verteilung der Version 88.0.4324.96 auf Windows 10 Enterprise 1809.
    Vorab, wir nutzen in unserer Umgebung Chrome for Business (64-Bit Version), Download der MSI über:
    https://chromeenterprise.google/browser/download/
    Die Verteilung der Updates erfolgt bei uns automatisiert über ein Software Deployment Tool, die automatischen Updates von Chrome werden per GPO deaktiviert.
    Soweit so gut nach gefühlten 10 Jahren gab es bisher keine Probleme mit der Verteilung der Updates.
    Heute dann die Version 88.0.4324.96 paketiert und (wie immer) testweise auf 2 Systemen installiert.
    System 1:
    PC auf dem Chrome in einer Vorgängerversion bereits installiert ist.
    System 2:
    PC der neu installiert wird bzw. auf dem Chrome noch nicht installiert.
    Ergebnis:
    Die Installation auf System 1 ist erfolgreich und verläuft ohne Probleme.
    Die Installation auf System 2 (Chrome ist noch nicht installiert) schlägt fehl, Error 1722.
    Danach Google-Suche nach Error 1722 und Lösungsvorschläge u.a unter
    https://support.google.com/chrome/a/thread/23609201?hl=en
    umgesetzt.
    Ergebnis: alles ohne Erfolg.
    Dann auf System 2 die Vorgängerversion Chrome 87 installiert und im Anschluss die Version 88.0.4324.96.
    Ergebnis: Die Installation erfolgt fehlerfrei.
    Danach auf einem dritten Testsystem (ohne GPOs und ohne vorhandene Chrome-Installation) die MSI Version 88.0.4324.96 manuell installiert, gleicher Fehler (Error 1722).
    Danach auf einem vierten Testsystem (wieder ohne GPOs und ohne vorhandene Chrome-Installation) die MSI in der Vorgängerversion 87.0.4280.141 manuell installiert, die Installation ist erfolgreich.
    Danach das dritte und vierte Testsystem verglichen.
    Unterschied:
    Der Installer bzw. die MSI in der Version 87.0.4280.141 64-Bit legt unter C:\Program Files (x86)\Google\Update die Datei GoogleUpdate.exe und diverse Unterordner ab.
    Der Installer in der Version 88.0.4324.96 64-Bit macht dieses nicht!
    Zum Abschluss:
    Auf System 2 (Chrome ist noch nicht installiert) den Ordner „Update“ der Installation vom vierten Testsystem mit der Version 87.0.4280.141 nach C:\Program Files (x86)\Google kopiert.
    Dann wieder die Version 88.0.4324.96 per Deployment installiert und siehe da, die Installation ist erfolgreich.
    Fazit (aus meiner Sicht):
    Die Neuinstallation von Chrome for Business 64-Bit in der Version 88.0.4324.96 ist aktuell nicht möglich.
    Und davon abgesehen:
    Warum legt die MSI bzw. der 64-Bit Installer von Chrome Dateien unter C:\Program Files (x86)\Google ab.
    Verstehe es wer will, mit Ü50 bin ich vermutlich zu alt dafür…

    • MOM20xx sagt:

      weils egal ist. sauber wäre c:\program files\Google windows nimmt es aber nicht so genau wo das 32bit oder 64bit programm abgelegt ist. und google ist halt zu faul das seit jahren zu bereinigen. machen halt wie immer ihre eigenen standards. andere firmen würden dafür geprügelt werden. aber google sind halt die guten

      • Bernie sagt:

        Den Fall und die Probleme bei der Softwareverteilung habe ich heute noch mit unserem Azubi besprochen.
        Sein Kommentar (u.a):
        Tja, Google handelt halt nach dem Pippi-Prinzip.
        Meine Rückfrage:
        Was Bitteschön ist denn das Pippi-Prinzip?
        Seine Antwort:
        Kennst Du doch „Ich mach mir die Welt, wie sie mir gefällt“
        Recht hat er…, und es gibt zum Glück noch kritische Leute in der jungen Generation.

  2. Anonymous sagt:

    Edge v88 ist jetzt auch da

  3. Tom sagt:

    CHROMIUM unter VIVALDI wurde mittlerweile auf Version 88.0.4324.99 aktualisiert:
    https://www.deskmodder.de/blog/2021/01/28/vivaldi-3-6-final-kommt-mit-vielen-verbesserungen/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.