[English]Mitte März 2022 haben die Google-Entwickler den Chrome-Browser auf die Version 99.0.4844.74 aktualisiert und dabei 11 Sicherheitslücken geschlossen (siehe Chrome 99.0.4844.74 fixt 11 Sicherheitslücken). Auch der Microsoft Edge hat ein Sicherheitsupdate erhalten (Microsoft Edge 99.0.1150.46 freigegeben). Das BSI hat eine Warnung ausgegeben, die zum Upgrade auffordert. Und nordkoreanische Hacker haben eine im Februar 2022 geschlossen Schwachstelle im Google Chrome für Angriffe auf Zielpersonen ausgenutzt.
Anzeige
BSI-Warnung mit Upgrade-Hinweis
Das BSI warnt in nachfolgendem Tweet, dass Nutzer den Google Chrome-Browser auf die Version 99.0.4844.74 aktualisieren sollen, gibt aber keinen direkten Grund an.
Ich hatte die Schwachstellen, die teilweise als kritisch oder hoch bewertet werden, um Beitrag Chrome 99.0.4844.74 fixt 11 Sicherheitslücken aufgelistet. In diesem Artikel schreibt das BSI ältere Versionen des Google Chrome Browsers vor Version 99.0.4844.74 mehrere Schwachstellen aufweisen, die eine Codeausführung ermöglichen. Dazu heißt es: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder sonstige Auswirkungen zu verursachen.
Chrome-Schwachstellen von Hackern ausgenutzt
Der Google Chrome-Browser und seine Schwachstellen sind ein Risiko für Internet Nutzer. Die Kollegen von Bleeping Computer berichten in folgendem Tweet sowie in diesem Artikel, dass die Schwachstellen bereits durch nordkoreanische Hacker ausgenutzt wurden.
Google hatte Mitte Februar 2022 in diesem Artikel zum Chrome 98.0.4758.102 angedeutet, dass die RCE-Schwachstelle CVE-2022-0609 durch einen Exploit bereits in freier Wildbahn ausgenutzt werde. Laut Bleeping Computer haben nordkoreanische staatliche Hacker diese 0-Day-Schwachstelle zur Remotecodeausführung im Google Chrome-Webbrowser mehr als einen Monat lang ausgenutzt, bis ein Patch verfügbar war. Der Exploit wurde über Phishing-Mails an Opfer verteilt – das Anklicken eines Links im Chrome-Browser reichte bereits für einen Angriff.
Die Angriffe zielten auf mehr als 250 Personen aus 10 verschiedenen Nachrichtenmedien und IT-Unternehmen. Die Zielpersonen erhielten E-Mails mit gefälschten Stellenangeboten, die angeblich von Personalverantwortlichen bei Disney, Google und Oracle stammten. Die E-Mails enthielten Links, die legitime Websites zur Stellensuche wie Indeed und ZipRecruiter beinhalteten, aber auf infizierte Auftritte verwiesen. Opfer, die auf die Links klickten, bekamen einen versteckten Iframe-Tag angezeigt, der das Exploit-Kit auslöste. Die Analyse mit den Details findet sich auf dieser Webseite einer Sicherheitsfirma.
2015
Zur Info: Hier wurde Chrome in den letzten Tagen schon auf 99.0.4844.82 (Win 64-Bit) aktualisiert, also eine inzwischen noch aktuellere Version.
So ist es bei mir unter Debian auch.
Der "Ädsch" ist mittlerweile bei Version 99.0.1150.52 angekommen – "Unser täglich Apdäit gib' uns heute und führe uns nicht in Versuchung…"
Wer weiß, was passiert, wenn die 99.9er überschritten wird: Womöglich massenweise Warnungen, dass man einen völlig veralteten Browser verwendet.
Wird an mir aber vorbeigehen, mein Browser macht augenblicklich Klimmzüge auf seine Version 30 und das auch nur, weil er sich anfangs an der Firefox-Zählung orientiert hatte. Vivaldi ist bei ehrlichen 5 Hauptversionen.
Dreistellige Versionsnummern. Und das für ein Programm, das noch nicht trocken hinter den Ohren ist. Affig.
Wenn es mit 100.xx beginnt, findet der Weltuntergang statt, weil moderne Software nicht über 100 zählen kann, weil die Programmier es auch nicht können, weil sie es sich nicht mal vorstellen können.
Nun ja, so ganz ohne scheint der Wechsel auf die dreistellige Ziffer halt doch nicht zu sein, wie man hier nachlesen kann:
http://www.borncity.com/blog/2022/02/18/chrome-und-firefox-gibt-es-bald-rger-mit-webseiten-wenn-die-build-100-erreicht-ist/
Es existiert die experimentelle Einstellung (chrome://flags)
Force major version to 100 in User-Agent
mit der im Benutzeragenten die Version 100.x.x.x angegeben wird um damit zu prüfen, ob Webseiten Probleme mit der 100er Versionsangabe haben.
Funktioniert (hier) mit EDGE, VIVALDI, CHROME(ungoogled).