Chrome 101.0.4951.41 fixt 30 Schwachstellen, hat aber GPO-Bug

[English]Google hat zum 26. April 2022 Updates des Google Chrome 101.0.4951.41 für Windows und Mac auf dem Desktop im Stable Channel freigegeben. Das ist der neue 101-Entwicklungszweig, wobei das Update 30, zum Teil als Hoch eingestufte Schwachstellen schließt. Ergänzung: Diese Version ignoriert allerdings Gruppenrichtlinien. Zudem sind Updates auf Version 100.0.4896.143 im Extended Stable-Channel verfügbar. Die betreffenden Einträge finden sich im Google-Blog.


Anzeige

Chrome 101.0.4951.41

Dieser Beitrag zum Update auf Chrome 101.0.4951.41 für Windows und Mac für den Desktop enthält kurze Beschreibung der im Chrome-Browser geschlossenen Schwachstellen (und hier gibt es die Details für die Version 100.0.4896.143 im Stable Channel für Windows und Mac). Hier die Liste der geschlossenen Schwachstellen:

[$10000][1313905] High CVE-2022-1477: Use after free in Vulkan. Reported by SeongHwan Park (SeHwa) on 2022-04-06
[$7000][1299261] High CVE-2022-1478: Use after free in SwiftShader. Reported by SeongHwan Park (SeHwa) on 2022-02-20
[$7000][1305190] High CVE-2022-1479: Use after free in ANGLE. Reported by Jeonghoon Shin of Theori on 2022-03-10
[$6000][1307223] High CVE-2022-1480: Use after free in Device API. Reported by @uwu7586 on 2022-03-17
[$5000][1302949] High CVE-2022-1481: Use after free in Sharing. Reported by Weipeng Jiang (@Krace) and Guang Gong of 360 Vulnerability Research Institute on 2022-03-04
[$NA][1304987] High CVE-2022-1482: Inappropriate implementation in WebGL. Reported by Christoph Diehl, Microsoft on 2022-03-10
[$NA][1314754] High CVE-2022-1483: Heap buffer overflow in WebGPU. Reported by Mark Brand of Google Project Zero on 2022-04-08
[$7500][1297429] Medium CVE-2022-1484: Heap buffer overflow in Web UI Settings. Reported by Chaoyuan Peng (@ret2happy) on 2022-02-15
[$7500][1299743] Medium CVE-2022-1485: Use after free in File System API. Reported by Anonymous on 2022-02-22
[$7500][1314616] Medium CVE-2022-1486: Type Confusion in V8. Reported by Brendon Tiszka on 2022-04-08
[$7000][1304368] Medium CVE-2022-1487: Use after free in Ozone. Reported by Sri on 2022-03-09
[$5000][1302959] Medium CVE-2022-1488: Inappropriate implementation in Extensions API. Reported by Thomas Beverley from Wavebox.io on 2022-03-04
[$2000][1300561] Medium CVE-2022-1489: Out of bounds memory access in UI Shelf. Reported by Khalil Zhani on 2022-02-25
[$2000][1301840] Medium CVE-2022-1490: Use after free in Browser Switcher. Reported by raven at KunLun lab on 2022-03-01
[$2000][1305706] Medium CVE-2022-1491: Use after free in Bookmarks. Reported by raven at KunLun lab on 2022-03-12
[$2000][1315040] Medium CVE-2022-1492: Insufficient data validation in Blink Editing. Reported by Michał Bentkowski of Securitum on 2022-04-11
[$1000][1275414] Medium CVE-2022-1493: Use after free in Dev Tools. Reported by Zhihua Yao of KunLun Lab on 2021-12-01
[$1000][1298122] Medium CVE-2022-1494: Insufficient data validation in Trusted Types. Reported by Masato Kinugawa on 2022-02-17
[$1000][1301180] Medium CVE-2022-1495: Incorrect security UI in Downloads. Reported by Umar Farooq on 2022-02-28
[$1000][1306391] Medium CVE-2022-1496: Use after free in File Manager. Reported by Zhiyi Zhang and Zhunki from Codesafe Team of Legendsec at Qi'anxin Group on 2022-03-15
[$NA][1264543] Medium CVE-2022-1497: Inappropriate implementation in Input. Reported by Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research on 2021-10-29
[$500][1297138] Low CVE-2022-1498: Inappropriate implementation in HTML Parser. Reported by SeungJu Oh (@real_as3617) on 2022-02-14
[$NA][1000408] Low CVE-2022-1499: Inappropriate implementation in WebAuthentication. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2019-09-04
[$TBD][1223475] Low CVE-2022-1500: Insufficient data validation in Dev Tools. Reported by Hoang Nguyen on 2021-06-25
[$NA][1293191] Low CVE-2022-1501: Inappropriate implementation in iframe. Reported by Oriol Brufau on 2022-02-02

Details zu den Schwachstellen werden aber keine veröffentlicht, bis der Großteil der Nutzer umgestiegen ist. Die Chrome-Version für Windows, Mac und Linux wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Man kann den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) aktualisieren. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen.

Der Gruppenrichtlinien-Bug

Beachtet die Hinweise in den nachfolgenden Kommentaren. Gruppenrichtlinien für den Google Chrome-Browser, die in Firmen zum Einsatz kommen, werden durch einen Bug wohl nicht berücksichtig.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Google Chrome, Sicherheit, Software, Update abgelegt und mit Chrome, Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Chrome 101.0.4951.41 fixt 30 Schwachstellen, hat aber GPO-Bug

  1. mvo sagt:

    Man könnte fast meinen, Chrome versucht Flash als löchrigste Software zu überholen…

  2. Bernie sagt:

    Vorsicht mit dieser Version, da einige Gruppenrichtlinien nicht mehr ziehen (z. B. eingestellte Startseite).
    Siehe auch Kommentar von Floyd unter:
    https://www.deskmodder.de/blog/2022/04/27/google-chrome-101-101-0-4951-41-mit-30-sicherheitsupdates-und-weitere-aktualisierungen/#comments

    Ich kann das Verhalten in unserer Umgebung (Windows 19 Enterprise 21H2) bestätigen und such noch nach einer Lösung.

  3. TSTONER sagt:

    Japp gpos werden definitiv nicht angwendet. Vorsicht !

  4. Dima sagt:

    Problem kann ebenfalls bestätigt werden. Proxysettings sind zum Glück nicht betroffen.

    Was allerdings greift ist:
    * "Neuer Tab"-Seite als Startseite verwenden: aktiviert
    * URL für "Neue Tab"-Seite konfigurieren: aktiviert und die entsprechende URL setzen

    Allerdings wird dann bei jedem Tab die entsprechende Seite geöffnet

  5. WillyWurm sagt:

    Wir haben als Workaround den Rollback in den Google Updater GPO aktivert:

    Rollback to Target version: Aktiviert
    Target version prefix override: Aktiviert
    Target version prefix: 100.

  6. Bolko sagt:

    ungoogled Chromium 101.0.4951.41 für Win64

    github[.]com/macchrome/winchrome/releases/download/v101.0.4951.41-r982481-Win64/ungoogled-chromium-101.0.4951.41-1_Win64.7z

    sha1: 9f51818de25c9cd1d8230e43f9857eb3d62b0ded
    .
    .
    ungoogled Chromium 101.0.4951.41 für Linux x64

    github[.]com/macchrome/linchrome/releases/download/v101.0.4951.41-r982481-portable-ungoogled-Lin64/ungoogled-chromium_101.0.4951.41_1.vaapi_linux.tar.xz

    sha1: 6bfafe07170310c5c08db3f852546664fbe65695

  7. Bernie sagt:

    Mit der Version 101.0.4951.54 ist der GPO-Fehler behoben.

  8. Steven sagt:

    Hallo,
    kann ich bestätigen Chrome 101.0.4951.54 nutzt wieder die GPOs,
    aber Achtung – gewisse Richtlinien wurden umbenannt.
    ALT: AuthServerWhitelist = NEU: AuthServerAllowlist
    ALT: AuthNegotiateDelegateWhitelist = NEU: AuthNegotiateDelegateAllowlist

    Grüße
    Steven

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.