Chrome 97.0.4692.99 erschienen, enthält Fixes für 26 Sicherheitslücken

[English]Google hat zum 19. Januar 2022 ein Update des Google Chrome 97.0.4692.99 für Windows, Mac und Linux (und die Version 97.0.4664.98 für Android) freigegeben. Es ist ein Update, welches 26 Schwachstellen schließt. Hier ein kurzer Überblick.


Anzeige

Im Google-Blog gibt es diesen Beitrag mit der kurzen Beschreibung der im Chrome 97.0.4692.99 für den Desktop geschlossenen Schwachstellen.

  • [$NA][1284367] Critical CVE-2022-0289: Use after free in Safe browsing. Reported by Sergei Glazunov of Google Project Zero on 2022-01-05
  • [$20000],[NA][1260134][1260007] High CVE-2022-0290: Use after free in Site isolation. Reported by Brendon Tiszka and Sergei Glazunov of Google Project Zero on 2021-10-15
  • [$20000][1281084] High CVE-2022-0291: Inappropriate implementation in Storage. Reported by Anonymous on 2021-12-19
  • [$17000][1270358] High CVE-2022-0292: Inappropriate implementation in Fenced Frames. Reported by Brendon Tiszka  on 2021-11-16
  • [$15000][1283371] High CVE-2022-0293: Use after free in Web packaging. Reported by Rong Jian and Guang Gong of 360 Alpha Lab on 2021-12-30
  • [$10000][1273017] High CVE-2022-0294: Inappropriate implementation in Push messaging. Reported by Rong Jian and Guang Gong of 360 Alpha Lab on 2021-11-23
  • [$10000][1278180] High CVE-2022-0295: Use after free in Omnibox. Reported by Weipeng Jiang (@Krace) and Guang Gong of 360 Vulnerability Research Institute on 2021-12-09
  • [$7000][1283375] High CVE-2022-0296: Use after free in Printing. Reported by koocola(@alo_cook) and Guang Gong of 360 Vulnerability Research Institute on 2021-12-30
  • [$5000][1274316] High CVE-2022-0297: Use after free in Vulkan. Reported by Cassidy Kim of Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. on 2021-11-28
  • [$TBD][1212957] High CVE-2022-0298: Use after free in Scheduling. Reported by Yangkang (@dnpushme) of 360 ATA on 2021-05-25
  • [$TBD][1275438] High CVE-2022-0300: Use after free in Text Input Method Editor. Reported by Rong Jian and Guang Gong of 360 Alpha Lab on 2021-12-01
  • [$NA][1276331] High CVE-2022-0301: Heap buffer overflow in DevTools. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-12-03
  • [$TBD][1278613] High CVE-2022-0302: Use after free in Omnibox. Reported by Weipeng Jiang (@Krace) and Guang Gong of 360 Vulnerability Research Institute on 2021-12-10
  • [$TBD][1281979] High CVE-2022-0303: Race in GPU Watchdog. Reported by Yiğit Can YILMAZ (@yilmazcanyigit) on 2021-12-22
  • [$TBD][1282118] High CVE-2022-0304: Use after free in Bookmarks. Reported by Rong Jian and Guang Gong of 360 Alpha Lab on 2021-12-22
  • [$TBD][1282354] High CVE-2022-0305: Inappropriate implementation in Service Worker API. Reported by @uwu7586 on 2021-12-23
  • [$NA][1283198] High CVE-2022-0306: Heap buffer overflow in PDFium. Reported by Sergei Glazunov of Google Project Zero on 2021-12-29
  • [$2000][1281881] Medium CVE-2022-0307: Use after free in Optimization Guide. Reported by Samet Bekmezci @sametbekmezci on 2021-12-21
  • [$2000][1282480] Medium CVE-2022-0308: Use after free in Data Transfer. Reported by @ginggilBesel on 2021-12-24
  • [$TBD][1240472] Medium CVE-2022-0309: Inappropriate implementation in Autofill. Reported by Alesandro Ortiz on 2021-08-17
  • [$TBD][1283805] Medium CVE-2022-0310: Heap buffer overflow in Task Manager. Reported by Samet Bekmezci @sametbekmezci on 2022-01-03
  • [$TBD][1283807] Medium CVE-2022-0311: Heap buffer overflow in Task Manager. Reported by Samet Bekmezci @sametbekmezci on 2022-01-03

Hinzu kommen verschiedene Fixes, die Google intern bei Audits gefunden hat. Details zun Schwachstellen werden aber keine veröffentlicht, bis der Großteil der Nutzer umgestiegen ist. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Google Chrome, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Chrome 97.0.4692.99 erschienen, enthält Fixes für 26 Sicherheitslücken

  1. 1ST1 sagt:

    Wenn man mal aufsummiert, wieviele Sicherheitslücken man zusammen findet, wenn man alle Security Advisort von Chrome für die letzten 12 Monate aufaddiert, das mag man sich garnicht ausmalen… Und dann noch der Edge dazu, der das ja alles automatisch mit erbt…

    • Stefan sagt:

      Die Frage ist halt ob nur so viele Sicherheitslücken gefunden werden weil so viele Leute draufschauen oder ob der Code echt nicht so gut ist. Chrome dürfte wohl eines der am meisten untersuchtesten Stücke Software der Welt sein.

      Wäre mal interessant was passieren würde wenn genau so viele Leute sich mal den Firefox ansehen würden.

      Ich finds toll das dadurch auch alle darauf aufbauenden Browser profitieren.

  2. Robert Glöckner sagt:

    passend dazu für die weniger Eiligen:
    Version 96.0.4664.174 (Offizieller Build) extended (64-Bit)

    das entsprechende Edge Chrome kommt dann wieder am Samstag :-|

  3. Bolko sagt:

    Es gibt heute auch ein Firefox Update auf 96.0.2

    ftp[.]mozilla[.]org/pub/firefox/releases/96.0.2/win64/de/Firefox%20Setup%2096.0.2.exe

  4. Bolko sagt:

    Für Debian im bookworm bzw testing Zweig gibt es Chromium nicht mehr auf normalem Weg, weil es aufgrund der zu großen Versionsunterschiede der Libraries aus den Repositories genommen wurde.
    Für den Testing-Zweig gibt es auch nicht das security-Repository des stable-Zweigs.

    Ich behelfe mich dann mit der portablen Version des ungoogled Chromium von macchrome (alias Marmaduke).

    github[.]com/macchrome/linchrome/releases

    Die aktuelle Version ist da aber noch nicht vorhanden, das dauert immer
    ein par Stunden oder Tage, weil die Verbindungen zu google rausgepatcht werden und neu compiliert werden muss.

    1.
    Dort die Datei mit der Endung tar.xz runterladen und entpacken.

    Dann ist etwas Frickelei nötig:

    2.
    chrome_sandbox umbenennen in
    chrome-sandbox
    Also Unterstrich in Minus ändern, damit Chromum weiß, dass es jetzt diese spezielle Sandbox benutzen soll und nicht etwa die Namespace-Sandbox des Kernels. Letztere Funktion ist nämlich auf vielen Linux Systemen gar nicht aktiv und man müsste noch mehr frickeln um es zu aktivieren.

    3.
    Zugriffsrechte der Sandbox ändern, damit da kein normaler User mehr etwas ändern kann:
    sudo chmod 4755 chrome-sandbox
    sudo chgrp root chrome-sandbox

    4.
    Chromium einmal starten mit
    chrome-wrapper
    Dadurch wird auch der Unterordner "Extensions" neu angelegt, wo die Erweiterungen dann reinkopiert werden können.

    5. (optional, Chromium vorher wieder schließen)
    Wenn man den Scriptblocker und Werbeblocker "ublock Origin" haben möchte, dann manuell runterladen, aktuell Version 1.40.8:
    github[.]com/gorhill/uBlock/releases
    dort die Datei:
    uBlock0_1.40.8.chromium.zip

    Zip auspacken und den enthaltenen Ordner
    uBlock0.chromium
    kopieren in den Chromium Unterordner "Extensions"

    6.
    Jetzt am besten den ganzen ausgepackten Chromium-Ordner nach /opt kopieren, wo alle Linux-Programme gespeichert sein sollten, die nicht aus den normalen Repositories stammen:

    sudo cp -r ungoogled-chromium_97.0.4692.71_1.vaapi_linux /opt/ungoogled-chromium_97.0.4692.71_1.vaapi_linux

    (Die Nummer 97.0.4692.71_1 natürlich anpassen an die aktuelle Version)

    7.
    Einen SymLink legen, damit man immer den selben Namen benutzen kann und nicht jedes mal die variierende Versionsnummer mitschleppen muss:
    sudo ln -s /opt/ungoogled-chromium_97.0.4692.71_1.vaapi_linux/chrome-wrapper /opt/ungoogled-chromium

    8.
    Im Startermenü von Linux dann einen neuen Menüeintrag erzeugen und als StartBefehl eingeben:
    /opt/ungoogled-chromium

    (manche Desktop Umgebungen wie KDE Plasma machen das automatisch, XFCE macht es aber nicht automatisch).

    Das funktioniert schon, allerdings immer noch ohne Hardwarebeschleunigung, weil sich die drei Grafikprozessor-Hersteller Intel, AMD und Nvidia bisher nicht auf eine einheitliche Schnittstelle (API) einigen konnten.
    Intel benutzt VA-API und AMD und Nvidia benutzen VDPAU.

    Für Hardwarebeschleunigung muss man dann noch eine libva-2.11.0 runterladen und compilieren (was auf vielen Systemen aber auch scheitert, weil wieder irgendwas fehlt).
    Für AMD bzw Nvidia muss man zusätzlich noch eine Wrapper haben (libva-mesa-driver).

    Ganz schöne Frickelei und absolut nicht Laientauglich, aber es funktioniert.

    Die Macher des Testing-Zweiges von Debian sollten da mal etwas ändern.
    In ein paar Jahren wird der testing-Zweig dann zum neuen stable -Zweig (Bullseye -> Bookworm) und dann stehen die User von Debian gänzlich ohne Chromium da.

    Mit openSUSE oder Arch hat man dieses Problem nicht.

  5. Hans Thölen sagt:

    Mit dem ganzen Palaver bei Chromium ( auch Edge ) habe ich zum Glück nichts
    zu tun. Der Internet Explorer 11 läuft bei mir zur vollsten Zufriedenheit und ohne
    Sicherheitslücken. Für mich beginnen die Probleme, wenn der IE11 von Microsoft
    kaputt gemacht wird, und ich muß einen von dem existierenden Schrott als
    Browser nehmen.

  6. Anonymous sagt:

    Edge 97.0.1072.69

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.