Google Chrome 92.0.4515.107

[English]Google hat zum 20. Juli 2021 den Google Chrome 92.0.4515.107 für Windows, Mac und Linux freigegeben. Es ist ein Update auf die Version 92, die neue Features mitbringt, aber auch gleich 35 Schwachstellen in älteren Browserversionen beseitigt.


Anzeige

Im Google-Blog gibt es diesen Beitrag mit einer Liste der im Chrome 92.0.4515.107 für den Desktop geschlossenen Schwachstellen. Hier einige hervorgehobene Schwachstellen, die beseitigt wurden.

  • [$15000][1210985] High CVE-2021-30565: Out of bounds write in Tab Groups. Reported by David Erceg on 2021-05-19
  • [$10000][1202661] High CVE-2021-30566: Stack buffer overflow in Printing. Reported by Leecraso and Guang Gong of 360 Alpha Lab on 2021-04-26
  • [$10000][1211326] High CVE-2021-30567: Use after free in DevTools. Reported by DDV_UA on 2021-05-20
  • [$8500][1219886] High CVE-2021-30568: Heap buffer overflow in WebGL. Reported by Yangkang (@dnpushme) of 360 ATA on 2021-06-15
  • [$500][1218707] High CVE-2021-30569: Use after free in sqlite. Reported by Chris Salls (@salls) of Makai Security on 2021-06-11
  • [$TBD][1101897] High CVE-2021-30571: Insufficient policy enforcement in DevTools. Reported by David Erceg on 2020-07-03
  • [$TBD][1214234] High CVE-2021-30572: Use after free in Autofill. Reported by Weipeng Jiang (@Krace) from Codesafe Team of Legendsec at Qi’anxin Group on 2021-05-28
  • [$TBD][1216822] High CVE-2021-30573: Use after free in GPU. Reported by Security For Everyone Team – https://securityforeveryone.com on 2021-06-06
  • [$TBD][1227315] High CVE-2021-30574: Use after free in protocol handling. Reported by Leecraso and Guang Gong of 360 Alpha Lab on 2021-07-08
  • [$15000][1213313] Medium CVE-2021-30575: Out of bounds read in Autofill. Reported by Leecraso and Guang Gong of 360 Alpha Lab on 2021-05-26
  • [$10000][1194896] Medium CVE-2021-30576: Use after free in DevTools. Reported by David Erceg on 2021-04-01
  • [$10000][1204811] Medium CVE-2021-30577: Insufficient policy enforcement in Installer. Reported by Jan van der Put (REQON B.V) on 2021-05-01
  • [$7500][1201074] Medium CVE-2021-30578: Uninitialized Use in Media. Reported by Chaoyuan Peng  on 2021-04-21
  • [$7500][1207277] Medium CVE-2021-30579: Use after free in UI framework. Reported by Weipeng Jiang (@Krace) from Codesafe Team of Legendsec at Qi’anxin Group on 2021-05-10
  • [$5000][1189092] Medium CVE-2021-30580: Insufficient policy enforcement in Android intents. Reported by @retsew0x01 on 2021-03-17
  • [$5000][1194431] Medium CVE-2021-30581: Use after free in DevTools. Reported by David Erceg on 2021-03-31
  • [$5000][1205981] Medium CVE-2021-30582: Inappropriate implementation in Animation. Reported by George Liu  on 2021-05-05
  • [$3000][1179290] Medium CVE-2021-30583: Insufficient policy enforcement in image handling on Windows. Reported by Muneaki Nishimura (nishimunea) on 2021-02-17
  • [$3000][1213350] Medium CVE-2021-30584: Incorrect security UI in Downloads. Reported by @retsew0x01 on 2021-05-26
  • [$N/A][1023503] Medium CVE-2021-30585: Use after free in sensor handling. Reported by niarci on 2019-11-11
  • [$TBD][1201032] Medium CVE-2021-30586: Use after free in dialog box handling on Windows. Reported by kkomdal with kkwon and neodal on 2021-04-21
  • [$N/A][1204347] Medium CVE-2021-30587: Inappropriate implementation in Compositing on Windows. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-04-30
  • [$5000][1195650] Low CVE-2021-30588: Type Confusion in V8. Reported by Jose Martinez (tr0y4) from VerSprite Inc. on 2021-04-04
  • [$3000][1180510] Low CVE-2021-30589: Insufficient validation of untrusted input in Sharing. Reported by Kirtikumar Anandrao Ramchandani (@Kirtikumar_A_R) and Patrick Walker (@homesen) on 2021-02-20

Weitere Probleme wurden intern durch Audits und Fuzzing aufgespürt und behoben. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Die Liste mit den Neuerungen findet sich auf dieser Google-Seite sowie hier.  heise hat hier einiges zum neuen Chrome 92 geschrieben. Sie können diese Build aber auch hier herunterladen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Google Chrome, Sicherheit, Update abgelegt und mit Chrome verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Google Chrome 92.0.4515.107

  1. Nicola sagt:

    Da in den letzten Monaten die Aktualisierungsrate der Browser wieder einmal massiv ansteigt und darunter auch mehrere 0-Exploits oder High Security vorhanden sind, würde ich gerne mal von euch wissen, wie Ihr in eueren Firmen mit den Updates umgeht?
    Aktuell bin ich fast wöchentlich daran die Browser zu aktualisieren, in der DEV bzw INTE zu testen, um kurz nach der Freigabe im PROD, das Spiel von neuem zu beginnen.
    Dachte auch schon mal daran, das Auto Update zu aktivieren, aber das scheint mir aktuell immer noch ein bisschen riskant zu sein.

    • Stefan sagt:

      Warum kein Autoupdate? Hatte bis jetzt weder im Chrome, im Edge noch im Firefox nennenswerte Schwierigkeiten (von einigen Zertifikatseigenheiten durch interne CA mal abgesehen).

    • Fahiko sagt:

      Wir patchen bei uns i.d.R. nur die kritischen Updates, sprich sobald eine 0-Day-Lücke auftaucht. Wenn keine auftaucht, nehmen wir die Version 2 Wochen nach erscheinen der Major-Version. Die beinhaltet zumeist Bugfixes für Fehler, die im ersten Release noch vorhanden waren.
      Sobald die erste Bugfix-Version verteilt ist, warten wir ab bis zum nächsten Major und patchen nur, wenn es eben kritische Lücken hat. Das aus dem Grund, weil wir interne Webapplikationen haben und das alles sauber getestet werden muss. Autoupdate ist für uns zurzeit keine Option wegen zu vielen Abhängigkeiten.

      • Stefan sagt:

        Ja, ok, interne Webapplikationen das stimmt, da gibt es immer wieder Reibungspunkte kann ich mir vorstellen. Hier bieten sich die ESR-Versionen von Firefox an oder gleich eine Standalone-Version für ganz krude Sachen. Wir haben hier noch Temperatursteuerungen die mit Java-Plugins arbeiten, sowas läuft dann auf einem vernagelten FirefoxPortable Asbach Uralt.

        • Risko sagt:

          > Wir haben hier noch Temperatursteuerungen …

          Solche kritischen System laufen ohnehin selbstverständlich auf einem exklusivem Gerät ohne Zugang zum Internet oder sonstige Netzzugänge, daher sind Updates dort komplett vernachlässigbar.

          • Stefan sagt:

            rrrrrrichtig….

            ps. du kommst nicht aus dem Kleinstunternehmenumfeld, oder? ;-) . Ich sag lieber nichts mehr.

    • 1ST1 sagt:

      Wir haben eine Testgruppe, die machen automatisch Updates, und wenn von da innmerhalb von 2 Tagen keine Beschwerden kommen, geht es an alle raus. Aber dass so viele Browserupdates kommen, das nervt tatsächlich. Zumal wenn Chrome Update kommt, zieht dann noch Edge und Opera nach, und mitunter noch irgendwelche Anwendungen, welche die Chromium-Engine für die Darstellung nutzt.

    • Bernie sagt:

      Wir verteilen den Chrome for Business mit dem MSI-Installer über unsere UEM Lösung bzw. die integrierte Softwareverteilung.
      Automatische Updates sind per GPO deaktiviert.

      Vorteil:
      Wir haben Kontrolle über die installierten Versionen und können im „Notfall“ den Chrome von allen System entfernen bzw. deinstallieren.

      Nachteil:
      Zeitaufwand für die Paketierung und das Testen.

      Letzteres ist aber nicht so dramatisch, wenn man die Routine hat dauert es ca. 15 Minuten in unserer Umgebung.

      Bereitet ein Update bei einigen Clients bzw. Fachanwendungen Probleme, so werden diese in eine Zuweisungsgruppe verschoben, das Update wird dann deinstalliert und die Vorgängerversion wieder installiert.

      Verteilen wir jedes Update?
      Nein, nur wenn diese wichtig oder kritisch sind.
      Hierbei (wie auch bei anderen Anwendungen) orientieren wir uns an die Hinweise von Shavlik Patch, siehe:
      https://protectupdate.shavlik.com/?blogsub=confirming#subscribe-blog
      oder die Warnmeldungen von CERT Bund vom BSI.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.