Google Chrome 90.0.4430.72: Schwachstellen gefixt und HTTPS als Standard

[English]Google hat zum 14. April 2021 den Google Chrome 90.0.4430.72 freigegeben. Es ist ein neuer Entwicklungszweig mit einigen Neuerungen. Der Browser sollte zeitnah aktualisiert werden, da Google 37Schwachstelle schließt. Hier ein kurzer Überblick.

Mir ist die Information hier unter die Augen gekommen. Im Google-Blog gibt es diesen Beitrag mit einer Liste der im Chrome 90.0.4430.72 für den Desktop geschlossenen Schwachstellen. Hier einige hervorgehobene Schwachstellen, die beseitigt wurden.

• [$20000][1025683] High CVE-2021-21201: Use after free in permissions. Reported by Gengming Liu, Jianyu Chen at Tencent Keen Security Lab on 2019-11-18
• [$10000][1188889] High CVE-2021-21202: Use after free in extensions. Reported by David Erceg on 2021-03-16
• [$5000][1192054] High CVE-2021-21203: Use after free in Blink. Reported by asnine on 2021-03-24
• [$1000][1189926] High CVE-2021-21204: Use after free in Blink. Reported by Chelse Tsai-Simek, Jeanette Ulloa, and Emily Voigtlander of Seesaw on 2021-03-19
• [$TBD][1165654] High CVE-2021-21205: Insufficient policy enforcement in navigation. Reported by Alison Huffman, Microsoft Browser Vulnerability Research on 2021-01-12
• [$TBD][1195333] High CVE-2021-21221: Insufficient validation of untrusted input in Mojo. Reported by Guang Gong of Alpha Lab, Qihoo 360 on 2021-04-02
• [$5000][1185732] Medium CVE-2021-21207: Use after free in IndexedDB. Reported by koocola (@alo_cook) and Nan Wang (@eternalsakura13) of 360 Alpha Lab on 2021-03-08
• [$3000][1039539] Medium CVE-2021-21208: Insufficient data validation in QR scanner. Reported by Ahmed Elsobky (@0xsobky) on 2020-01-07
• [$3000][1143526] Medium CVE-2021-21209: Inappropriate implementation in storage. Reported by Tom Van Goethem (@tomvangoethem) on 2020-10-29
• [$3000][1184562] Medium CVE-2021-21210: Inappropriate implementation in Network. Reported by @bananabr on 2021-03-04
• [$2000][1103119] Medium CVE-2021-21211: Inappropriate implementation in Navigation. Reported by Akash Labade (m0ns7er) on 2020-07-08
• [$500][1145024] Medium CVE-2021-21212: Incorrect security UI in Network Config UI. Reported by Hugo Hue and Sze Yiu Chau of the Chinese University of Hong Kong on 2020-11-03
• [$N/A][1161806] Medium CVE-2021-21213: Use after free in WebMIDI. Reported by raven (@raid_akame)  on 2020-12-25
• [$TBD][1170148] Medium CVE-2021-21214: Use after free in Network API. Reported by Anonymous on 2021-01-24
• [$TBD][1172533] Medium CVE-2021-21215: Inappropriate implementation in Autofill. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-01-30
• [$TBD][1173297] Medium CVE-2021-21216: Inappropriate implementation in Autofill. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-02-02
• [$500][1166462] Low CVE-2021-21217: Uninitialized Use in PDFium. Reported by Zhou Aiting (@zhouat1) of Qihoo 360 Vulcan Team on 2021-01-14
• [$500][1166478] Low CVE-2021-21218: Uninitialized Use in PDFium. Reported by Zhou Aiting (@zhouat1) of Qihoo 360 Vulcan Team on 2021-01-14
• [$500][1166972] Low CVE-2021-21219: Uninitialized Use in PDFium. Reported by Zhou Aiting (@zhouat1) of Qihoo 360 Vulcan Team on 2021-01-15

Einige Schwachstellen sind mit der Einstufung High versehen. Es wurde auch ein 0-day-Bug, der auf der Pwn2Own-Hackerkonferenz ausgenutzt wurde, beseitigt. Weitere Probleme wurden intern durch Audits und Fuzzing aufgespürt und behoben. Der Browser sollte also zügig aktualisiert werden. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Sie können diese Build aber auch hier herunterladen.

Neuerungen in Chrome 90.0.4430.72

Im Change-Log im Chromium-Blog gibt es keine Hinweise, was im 90er-Entwicklungszweig neu ist. Google hat im März 2021 in diesem Blog-Beitrag angekündigt, dass https-Protokoll standardmäßig ab der Version 90 im Chrome-Browser zu verwenden. Tippt ein Benutzer also nur  eine URL im Adressfeld ein, wird versucht, die Verbindung per https aufzubauen. Bleeping Computer weist hier zudem darauf hin, dass der neue Browser ein verbessertes NAT-Slipstreaming besitzt. Dazu werden entsprechende Angriffe über  FTP-, HTTP- und HTTPS-Verbindungen auf Port 554 blockiert.

NAT-Slipstreaming-Angriffe missbrauchen die Application Level Gateway (ALG)-Funktion eines Routers, um Zugriff auf einen beliebigen Port in einem internen Netzwerk zu erhalten, wodurch Bedrohungsakteure möglicherweise Zugriff auf Dienste erhalten, die normalerweise durch den Router gesichert sind.

Dieses Feature hat aber eine Vorgeschichte: Google hatte den Port schon mal gesperrt, diesen aber wieder geöffnet, nachdem Google Beschwerden von Entwicklern erhalten hatte. Google hat aber festgestellt, dass der Port nur für etwa 0,00003 % aller Anfragen verwendet wird.  Aufgrund der geringen Nutzung blockiert Google den Port nun erneut.

Google Chrome 90 erhält zudem einen AV1-Encoder, um die Leistung in Videokonferenzsoftware mit WebRTC zu erhöhen. Google nennt eine höhere Komprimierungseffizienz als andere Arten der Videokodierung (gegenüber VP9 und anderen Codecs) als Vorteil, wodurch der Bandbreitenverbrauch reduziert und die visuelle Qualität verbessert wird. Das hilft in Netzwerken mit geringer Bandbreite bei Videokonferenzen und der Bildschirmfreigabe.

Die Google Chrome Tab Search-Funktion wird in Chrome 90 weiter ausgerollt, so dass mehr Nutzer diese Funktion erhalten, ohne sie über ein Flag aktivieren zu müssen. Mit der Tab-Suchfunktion können Nutzer Ihre offenen Tabs unter allen geöffneten Browserfenstern durchsuchen, um eine bestimmte Seite zu finden. Eine Kurzübersicht der Neuerungen haben die Kollegen von deskmodder.de hier zusammengestellt. Und bei Bleeping Computer kann man Neuerungen für Entwickler nachlesen.