Google Chrome 90.0.4430.72: Schwachstellen gefixt und HTTPS als Standard

[English]Google hat zum 14. April 2021 den Google Chrome 90.0.4430.72 freigegeben. Es ist ein neuer Entwicklungszweig mit einigen Neuerungen. Der Browser sollte zeitnah aktualisiert werden, da Google 37Schwachstelle schließt. Hier ein kurzer Überblick.


Anzeige

Mir ist die Information hier unter die Augen gekommen. Im Google-Blog gibt es diesen Beitrag mit einer Liste der im Chrome 90.0.4430.72 für den Desktop geschlossenen Schwachstellen. Hier einige hervorgehobene Schwachstellen, die beseitigt wurden.

  • [$20000][1025683] High CVE-2021-21201: Use after free in permissions. Reported by Gengming Liu, Jianyu Chen at Tencent Keen Security Lab on 2019-11-18
  • [$10000][1188889] High CVE-2021-21202: Use after free in extensions. Reported by David Erceg on 2021-03-16
  • [$5000][1192054] High CVE-2021-21203: Use after free in Blink. Reported by asnine on 2021-03-24
  • [$1000][1189926] High CVE-2021-21204: Use after free in Blink. Reported by Chelse Tsai-Simek, Jeanette Ulloa, and Emily Voigtlander of Seesaw on 2021-03-19
  • [$TBD][1165654] High CVE-2021-21205: Insufficient policy enforcement in navigation. Reported by Alison Huffman, Microsoft Browser Vulnerability Research on 2021-01-12
  • [$TBD][1195333] High CVE-2021-21221: Insufficient validation of untrusted input in Mojo. Reported by Guang Gong of Alpha Lab, Qihoo 360 on 2021-04-02
  • [$5000][1185732] Medium CVE-2021-21207: Use after free in IndexedDB. Reported by koocola (@alo_cook) and Nan Wang (@eternalsakura13) of 360 Alpha Lab on 2021-03-08
  • [$3000][1039539] Medium CVE-2021-21208: Insufficient data validation in QR scanner. Reported by Ahmed Elsobky (@0xsobky) on 2020-01-07
  • [$3000][1143526] Medium CVE-2021-21209: Inappropriate implementation in storage. Reported by Tom Van Goethem (@tomvangoethem) on 2020-10-29
  • [$3000][1184562] Medium CVE-2021-21210: Inappropriate implementation in Network. Reported by @bananabr on 2021-03-04
  • [$2000][1103119] Medium CVE-2021-21211: Inappropriate implementation in Navigation. Reported by Akash Labade (m0ns7er) on 2020-07-08
  • [$500][1145024] Medium CVE-2021-21212: Incorrect security UI in Network Config UI. Reported by Hugo Hue and Sze Yiu Chau of the Chinese University of Hong Kong on 2020-11-03
  • [$N/A][1161806] Medium CVE-2021-21213: Use after free in WebMIDI. Reported by raven (@raid_akame)  on 2020-12-25
  • [$TBD][1170148] Medium CVE-2021-21214: Use after free in Network API. Reported by Anonymous on 2021-01-24
  • [$TBD][1172533] Medium CVE-2021-21215: Inappropriate implementation in Autofill. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-01-30
  • [$TBD][1173297] Medium CVE-2021-21216: Inappropriate implementation in Autofill. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-02-02
  • [$500][1166462] Low CVE-2021-21217: Uninitialized Use in PDFium. Reported by Zhou Aiting (@zhouat1) of Qihoo 360 Vulcan Team on 2021-01-14
  • [$500][1166478] Low CVE-2021-21218: Uninitialized Use in PDFium. Reported by Zhou Aiting (@zhouat1) of Qihoo 360 Vulcan Team on 2021-01-14
  • [$500][1166972] Low CVE-2021-21219: Uninitialized Use in PDFium. Reported by Zhou Aiting (@zhouat1) of Qihoo 360 Vulcan Team on 2021-01-15

Einige Schwachstellen sind mit der Einstufung High versehen. Es wurde auch ein 0-day-Bug, der auf der Pwn2Own-Hackerkonferenz ausgenutzt wurde, beseitigt. Weitere Probleme wurden intern durch Audits und Fuzzing aufgespürt und behoben. Der Browser sollte also zügig aktualisiert werden. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können diese Build aber auch hier herunterladen.

Neuerungen in Chrome 90.0.4430.72

Im Change-Log im Chromium-Blog gibt es keine Hinweise, was im 90er-Entwicklungszweig neu ist. Google hat im März 2021 in diesem Blog-Beitrag angekündigt, dass https-Protokoll standardmäßig ab der Version 90 im Chrome-Browser zu verwenden. Tippt ein Benutzer also nur  eine URL im Adressfeld ein, wird versucht, die Verbindung per https aufzubauen. Bleeping Computer weist hier zudem darauf hin, dass der neue Browser ein verbessertes NAT-Slipstreaming besitzt. Dazu werden entsprechende Angriffe über  FTP-, HTTP- und HTTPS-Verbindungen auf Port 554 blockiert.

NAT-Slipstreaming-Angriffe missbrauchen die Application Level Gateway (ALG)-Funktion eines Routers, um Zugriff auf einen beliebigen Port in einem internen Netzwerk zu erhalten, wodurch Bedrohungsakteure möglicherweise Zugriff auf Dienste erhalten, die normalerweise durch den Router gesichert sind.

Dieses Feature hat aber eine Vorgeschichte: Google hatte den Port schon mal gesperrt, diesen aber wieder geöffnet, nachdem Google Beschwerden von Entwicklern erhalten hatte. Google hat aber festgestellt, dass der Port nur für etwa 0,00003 % aller Anfragen verwendet wird.  Aufgrund der geringen Nutzung blockiert Google den Port nun erneut.

Google Chrome 90 erhält zudem einen AV1-Encoder, um die Leistung in Videokonferenzsoftware mit WebRTC zu erhöhen. Google nennt eine höhere Komprimierungseffizienz als andere Arten der Videokodierung (gegenüber VP9 und anderen Codecs) als Vorteil, wodurch der Bandbreitenverbrauch reduziert und die visuelle Qualität verbessert wird. Das hilft in Netzwerken mit geringer Bandbreite bei Videokonferenzen und der Bildschirmfreigabe.

Die Google Chrome Tab Search-Funktion wird in Chrome 90 weiter ausgerollt, so dass mehr Nutzer diese Funktion erhalten, ohne sie über ein Flag aktivieren zu müssen. Mit der Tab-Suchfunktion können Nutzer Ihre offenen Tabs unter allen geöffneten Browserfenstern durchsuchen, um eine bestimmte Seite zu finden. Eine Kurzübersicht der Neuerungen haben die Kollegen von deskmodder.de hier zusammengestellt. Und bei Bleeping Computer kann man Neuerungen für Entwickler nachlesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Google Chrome, Sicherheit, Update abgelegt und mit Chrome, Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Google Chrome 90.0.4430.72: Schwachstellen gefixt und HTTPS als Standard

  1. Anonymous sagt:

    EDGE 90 ist auch da

    • Günter Born sagt:

      Dass da für Publisher mittelalterliche Verhältnisse lauern, und an jeder Kreuzung Raubritter lauern, die vom Werbeeinnahmenkuchen ihren Obulus fordern, ist den meisten bekannt … auch im Mittelalter hat ein Händler kalkuliert: Was bleibt am Ende der Fuhre für mich als Gewinn übrig. Wenn es nicht mehr lohnte, weil es nur noch Totalausfälle gab, blieben die Fuhren aus …

      Zu FLoC – und auch der Bemühung der Bundesregierung, die ePrivacy-Verordnung zu fassen (gab letzte Woche eine Expertenanhörung) hatte ich vor, zum Wochenende was zu schreiben – aber Wetter war zu schön. Habe Mittwoch in einem Webinar verbracht, in dem es um Monetarisierung ging. Nur so viel: In der Branche sind einzelne Leute schon viel weiter, als Google mit FLoC und die Regierung mit ihrer ePrivacy-Verordnung regeln will. Cookie-lose Werbung, die sich daran orientiert, was man über Besucher einer Webseite zu wissen glaubt, ist das Ziel. Wenn jemand hier im Blog einen Artikel zu Windows 10-Problemen abruft, weiß ich a priori, dass er sich für IT, genauer für Windows-Themen, interessiert und eher weniger Interesse an Windeln, Schmerzmitteln oder was auch immer hat, auch ohne dass ich dessen Surfhistorie über viele Webseiten kenne.

      Ich denke, dass ich mit dem Werbepartner in den kommenden Monaten da eruiere, was von zwei Anbietern für mich funktionieren kann. Denn es hat sich auch herausgestellt, dass die Cookie-Consent-Geschichte mich als Blogger wohl extrem getroffen hat. Während die meisten Seiten eine Cookie-Zustimmungsrate von 80-90% haben, komme ich auf so um die 30%. Ergo muss ich mir was einfallen lassen – und wenn ich über Cookie-lose Ansätze weiter komme (ist zu eruieren), bin ich schon drei Schritte weiter als der Rest des Markts. Mal schauen, wie das ausgeht.

  2. Manuhiri sagt:

    …was bleibt am Ende der Fuhre für mich als Gewinn übrig…

    Wir schreiben über den zweitwertvollsten Konzern der Geschichte. Ein kurzer Blick
    in die Kennzahlen:

    https://www.onvista.de/aktien/fundamental/Alphabet-Inc-A-Aktie-US02079K3059

    Beeindruckend. Jedenfalls bin ich auf der Suche nach dem Ausstieg aus dieser ganzen
    digitalen Sklaverei und auch der Google-Artikel ist ein Grund, die Restlaufzeit in Rente anders zu gestalten. Sa/So ohne digitales Endgerät ist shon ein Anfang, sicher geht da noch mehr. Mehr analog ist das Programm der näheren Zukunft. Nach dieser Gigaset-Problematik hier dachte ich: Woher nehmen die all die Zeit, sich damit auch noch zu beschäftigen? Auf der Strasse ist jeder zweite online, das kann es nicht sein.

    Ich stolperte in meinem Fundus über ‚Neil Postman – Wir amüsieren uns zu Tode‘.
    Eine Schwarte aus den frühen 80ern. Während Postman das Buch verfasste, waren schon die ersten Anzeichen des kommenden Zeitalters spürbar, das unsere Kommunikationswelt noch tief greifender als das Fernsehen verändert hat und manche Erkenntnisse Postmans überholt erscheinen lässt.

    Zitat: ‚Das Fernsehen macht aus uns ungebildete, schlecht informierte Konsumenten, die zu keinem ernsthaften öffentlichen Diskurs mehr fähig sind.‘

    Donald Trump war kein Unfall, er ist ein Produkt des Bildungsniveaus einer 300-Mio Bevölkerung, fassen kann man das immer noch nicht…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.