Google Chrome 116.0.5845.187/.188 fixt kritische Schwachstelle

Publiziert am 11. September 2023 von Günter Born

Chrome[English]Google hat zum 11. September 2023 Updates des Google Chrome Browsers 116 im Stable und Extended Channel für Mac, Linux und Windows freigegeben. Es sind Sicherheitsupdates, die ausgerollt werden und eine Schwachstelle (Einstufung als "kritisch") beseitigen sollen.

Anzeige

Google Chrome 116.0.5845.187/.188

Der betreffende Eintrag für den Chrome 116 findet sich im Google-Blog. Der Stable und Extended Channel wurde für macOS und Linux auf 116.0.5845.187 aktualisiert. Für Windows wurde der Chrome auf die Versionen 116.0.5845.187/.188  aktualisiert. Es ist ein Update, welches folgende kritische Schwachstelle schließt.

[$NA][1479274] Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Torontoʼs Munk School on 2023-09-06

Details werden wie üblich keine genannt. Google gibt an, dass ein Exploit existiert und die Schwachstelle in freier Wildbahn ausgenutzt wird. Chrome wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Man kann (und sollte in diesem Fall) den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) aktualisieren. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Google Chrome, Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Google Chrome 116.0.5845.187/.188 fixt kritische Schwachstelle

  1. 1ST1 sagt:
    12. September 2023 um 00:32 Uhr

    Chrome entwickelt sich langsam wirklich zu einem würdigen Flash-Nachfolger, was die Anzahl der Updates wegen Sicherheitslücken betrifft. Und Edge muss konstant hinterher humpeln. Das nervt, wenn man Patchmanagement ordentlich betreibt (Tests, Freigabe, Dokumentation).

    Antworten
    • Bernie sagt:
      12. September 2023 um 19:18 Uhr

      ja, das nervt wirklich, Google hat aber angekündigt, dass es ab der Version 116 wöchentliche Updates gibt:
      https://security.googleblog.com/2023/08/an-update-on-chrome-security-updates.html
      Wir sind daher aus zeitlichen Gründen dazu übergegangen, nur noch die Installation und Deinstallation zu testen und den Zeitpunkt des Updates zu dokumentieren.

      Ergänzend:
      Chrome wird bei uns über unserer UEM-Lösung bzw. die integrierte Softwareverteilung per MSI (Chrome for Business) verteilt.

      Auch die Aktivierung der Auto-Updates (aktuell per GPO blockiert) stand bei uns kurzfristig zur Diskussion, wurde dann aber abgelehnt, da keine Kontrolle mehr über die installierten Versionen besteht und insbesondere die Deinstallation Probleme bereitet.
      Uns ist bewusst, die Regel (Testen, Freigabe), wie von Dir erwähnt, kann dadurch nicht mehr eingehalten werden, aber uns bleibt aus zeitlichen und personellen Gründen aktuell keine andere Wahl.

      Aber (immerhin), sollte es nach dem Update bei einer Fachanwendung zu Problemen kommen, so sind wir durch unsere Softwareverteilung in der Lage das Update auf den betroffenen PCs zu deinstallieren und die Vorgängerversion wieder zu installieren.

      Ansonsten würde mich an dieser Stelle interessieren (Frage in die Runde an die IT-Admins), wie Ihr das handhabt.

      Antworten
      • Klaus sagt:
        13. September 2023 um 16:53 Uhr

        Im Prinzip genauso und auch die gleichen Überlegungen bezüglich Auto-Update. Ein "pro Forma" Test findet noch dahingehend statt, dass die IT-Admins sowie ausgesuchte "Power-User" in den Fachabteilungen die Installation – mittlerweile auch unangekündigt – sofort bekommen und wenn da keiner meckert, weil was nicht mehr geht, wird die Installation zwei/drei Tage später an die Masse ausgerollt.

        Besonders freuen sich auch die Terminalserver-Admins über die höhere Schlagzahl, um es mal so zu sagen.

        Antworten
  2. Tom sagt:
    12. September 2023 um 11:02 Uhr

    Beim UNGOOGLED ist man schon auf dem 117er-Zweig unterwegs – aktuelle Version ist dort die 117.0.5938.55.

    Antworten
  3. Robert Glöckner sagt:
    13. September 2023 um 00:00 Uhr

    scheint ernst zu sein, denn MS hat auch gleich nachgelegt:

    Microsoft has a fix for CVE-2023-4863 to Microsoft Edge Stable and Extended Stable Channel (Version 116.0.1938.81), which has been reported by the Chromium team as having an exploit in the wild. For more information, see the Security Update Guide.

    Antworten
  4. Bernie sagt:
    13. September 2023 um 08:27 Uhr

    Nur einen Tag später:
    Chrome 117.0.5938.63 korrigiert 16 Sicherheitslücken – Eine davon kritisch.
    Release Notes:
    https://chromereleases.googleblog.com/

    Antworten
  5. Jonathan sagt:
    13. September 2023 um 13:06 Uhr

    Die oben genannte CVE-2023-4863 betrifft neben Chrome auch Edge und Firefox und Thunderbird (!). Zumindest für FF und TB wäre eine separate Meldung gut, da rechnet man nicht unbedingt mit. Betrifft beim FF und TB alle aktuell unterstützen Versionen.

    Selbst Heise (die ja teilweise recht langsam sind) hat inzwischen eine eigene Meldung dazu: https://www.heise.de/news/Notfallpatch-sichert-Firefox-und-Thunderbird-gegen-Attacken-ab-9303536.html

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.