News Chrome 116: Google schließt vier massive Sicherheitslücken

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
6.148
Google schließt mit dem neuen Update für Chrome 116 fünf Sicherheitslücken in seinem Webbrowser, von denen die meisten ein massives Bedrohungspotenzial aufweisen. Nutzern wird daher empfohlen, das Update schnellstmöglich zu installieren.

Zur News: Chrome 116: Google schließt vier massive Sicherheitslücken
 
  • Gefällt mir
Reaktionen: BorstiNumberOne, FR3DI und aid0nex
Wie sieht das bei Vivaldi aus? Ich habe die neuste Version mit Chromium 114.0.5735.321 ist das mit Chrom gleichzusetzen oder gibt es da ein Unterschied? Also nutzt Chrome 116 Chromium 114?
 
  • Gefällt mir
Reaktionen: aid0nex und Viper816
Frage von einem Laien: Es gab ja auch einen Patch für iOS und Android. Dabei wird iOS von Apple immer als besonders sicher dargestellt. Gibt es da Unterschiede, was mit den Sicherheitslücken z.B. auf einem iPhone oder einem Windows-Rechner möglich gewesen wäre? Hält sich das bei iOS dann in den Grenzen des Browsers (also werden irgendwelche Session-Cookies oder Passwörter abgegriffen?) und bei Desktop-Systemen nicht?
 
Cool Master schrieb:
Wie sieht das bei Vivaldi aus? Ich habe die neuste Version mit Chromium 114.0.5735.321 ist das mit Chrom gleichzusetzen oder gibt es da ein Unterschied? Also nutzt Chrome 116 Chromium 114?
Wenn sie betroffen sind (muss nicht immer sein) ziehen sie normalerweise nach z.B. https://www.pcwelt.de/article/20192...er-brave-und-vivaldi-sind-wieder-aktuell.html

Wenn sie die letzte Chromium-Version nutzen, dürfts eh passen. Solche Sicherheitsupdates dürften sie nicht soo lange vor sich her ziehen https://chromiumdash.appspot.com/releases?platform=Windows
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Cool Master und piepenkorn
Cool Master schrieb:
Wie sieht das bei Vivaldi aus? Ich habe die neuste Version mit Chromium 114.0.5735.321 ist das mit Chrom gleichzusetzen oder gibt es da ein Unterschied? Also nutzt Chrome 116 Chromium 114?
Wird das gleiche sein die betroffenen Lücken sind sicher durch die neue WebGPU API entstanden mit Vulkan als Backend :lol:. Da das Vulkan Backend allerdings nur unter Linux verwendet wird und das default noch nicht aktiv ist hält sich der Schaden vmt. in Grenzen.
 
  • Gefällt mir
Reaktionen: Cool Master und wertzuiop123
@Reset90
Man darf nicht vergessen, dass mit laufender Weiterentwicklung auch laufend neue Sicherheitsprobleme in Software hinzukommen. Sowohl unbewusst als auch bewusst.
 
  • Gefällt mir
Reaktionen: FR3DI
ja genau, einen schritt vor und zwei zurück :)
 
Regelmäßige, bzw nahezu tägliche Updates für den Chrome und Edge gehören mittlerweile zur Tagesordnung.

Tatsächlich sollte man die vielen Fehlerbehebungen jedoch sehr positiv sehen. Seit ca. 2018 herum fingen Unternehmen endlich an, die Sicherheit ihrer Produkte aktiv im Fokus zu haben. Das ist ein riesiger Fortschritt.

Nur weil es früher nicht so viele Updates gab, waren die Produkte definitiv nicht besser geschweige den sicherer. Es hat nur niemand interessiert.

Ich habe, unter anderem, die BSI Sicherheitsmeldungen in meinem RSS-Feed. Gefühlt werden im Sekundentakt neue Fehler gefunden - Aber das gut ist: Sie werden in der Regel auch sehr schnell, wenn nicht sogar umgehend gelöst.
 
Herr-A schrieb:
Frage von einem Laien: Es gab ja auch einen Patch für iOS und Android. Dabei wird iOS von Apple immer als besonders sicher dargestellt. Gibt es da Unterschiede, was mit den Sicherheitslücken z.B. auf einem iPhone oder einem Windows-Rechner möglich gewesen wäre? Hält sich das bei iOS dann in den Grenzen des Browsers (also werden irgendwelche Session-Cookies oder Passwörter abgegriffen?) und bei Desktop-Systemen nicht?
Bei iOS ist es so daß es durch die Geschlossenheit und die regelmäßigen Sicherheitsupdates kaum angreifbar ist. Da muss viel ungünstig laufen für ein Risiko.
 
Mac-4-Life schrieb:
Bei iOS ist es so daß es durch die Geschlossenheit und die regelmäßigen Sicherheitsupdates kaum angreifbar ist. Da muss viel ungünstig laufen für ein Risiko.
Leider ist das ein Trugschluss. Gerade ios Geräte und Macs werden bei Hacathlons regelmäßig am schnellsten geknackt.
Bieten also oft weniger Sicherheit als die Konkurrenz.
 
  • Gefällt mir
Reaktionen: wertzuiop123 und Spellbound
Wurde in Chrome schon der WEI-Standard integriert? Oder ist das noch Zukunftsmusik (die sich hoffentlich nicht durchsetzt)?

Wikipedia sagt: es ist integriert, aber noch nicht aktiv, wenn ich das richtig interpretiere.
 
Zuletzt bearbeitet:
Herr-A schrieb:
Frage von einem Laien: Es gab ja auch einen Patch für iOS und Android. Dabei wird iOS von Apple immer als besonders sicher dargestellt. Gibt es da Unterschiede, was mit den Sicherheitslücken z.B. auf einem iPhone oder einem Windows-Rechner möglich gewesen wäre? Hält sich das bei iOS dann in den Grenzen des Browsers (also werden irgendwelche Session-Cookies oder Passwörter abgegriffen?) und bei Desktop-Systemen nicht?

Gute Frage.

Der Patch für iOS fällt sicherlich klein aus. Warum? Weil unter iOS nur WebKit verwendet werden darf! Chrome für iOS ist nur eine andere UI für WebKit, mit integrierter Datenabgabe an Google. Die Sicherheitslücken für welche Google selbst in Blink (ein Fork von WebKit) verantwortlich ist entfallen. Mögliche Gründe für ein Update ist aber das Problem bei den Fonts, weitere unkritische Fixes und Versionsnummer auf einem Level zu halten.

Blink ist das U-Boot um WebKit zu schaden. Warum so drastisch?
Apple wird geschädigt, die quelloffene Gemeinschaft aus ehemalige KHTML-Leuten und WebKitGtk wird geschädigt. Google hat so halt nicht nur die Daten angreifen sondern zum Beispiel JavaScript pushen, weil das den eigenen Interessen dient. An Blink arbeitet außer Google kaum jemand? Vivaldi, Opera und Edge haben nichts zu melden.

Von daher ist es “leider” gut das Apple andere Engines unter iOS verbietet. Die Dominanz von Google ist erschreckend, wenn man von Google nicht Chrome vorgesetzt bekommt, macht es Microsoft für sie mit Edge.

Die EU hat die massive Problematik ja mal erkannt und behandelt. Und dann gemeint “Passt scho Microsoft. Ihr seid ein gierig, manipulativ und unfair. Aber wenn Ihr schon den Browserkrieg verloren habt, dürft Ihr Steigbügelhalter für Google sein. Alle Sanktionen aufgehoben!”

facepalm

PS: Nutzt mehr Firefox. Und wer mit GNOME unterwegs ist, bitte Epiphany versuche. Epiphany ist leider speicherhungrig geworden, mit Sandbox und Prozesstrennung. Wer kann soll und darf den Entwicklern bitte helfen.
 
  • Gefällt mir
Reaktionen: BorstiNumberOne
Also 1. Ist die Webkit vorschreibung demnächst obsolet, wenn ich das richtig in erinnerung habe und 2. ist mmn eher iOS/Webkit der angeschmierte, weil seit der trennung ist webkit hoffnungslos veraltet. im CSS brauch es immer noch -webkit- vendor prefixes, wärend die der blink (und gecko) längst nicht mehr benötigen und manche eigenschaften sind nach jahren immer noch buggy (flex column page break...) - der neue IE6. Danke an Apple, das sie Flash gekillt haben, aber da haben sie einen frankenstein-browser geschaffen (und mit dem Engine-Zwang gleich noch ein paar dazu.) Grund für die Trennung war ja auch, dass Apple kaum mitgemacht hat und gleichzeitig meistens alles "so belassen" wollte, damit ja alle Apps kompatibel bleiben.
 
netzgestaltung schrieb:
ist mmn eher iOS/Webkit der angeschmierte, weil seit der trennung ist webkit hoffnungslos veraltet.

Aus wessen Perspektive. Der von Google?

netzgestaltung schrieb:
im CSS brauch es immer noch -webkit- vendor prefixes, wärend die der blink (und gecko) längst nicht mehr benötigen
Womoeglich weil die Dinger von allen verwendet werden und mit webkit- Prefixes sehr viele neue Features etabliert worden sind.


netzgestaltung schrieb:
und manche eigenschaften sind nach jahren immer noch buggy (flex column page break...) - der neue IE6. Danke an Apple, das sie Flash gekillt haben, aber da haben sie einen frankenstein-browser geschaffen (und mit dem Engine-Zwang gleich noch ein paar dazu.) Grund für die Trennung war ja auch, dass Apple kaum mitgemacht hat und gleichzeitig meistens alles "so belassen" wollte, damit ja alle Apps kompatibel bleiben.
Grundsaetzlich moegen Webentwickler nur ihren eigenen Webbrowser, weil der alle Features so bietet wie sie das kennen.

In der Anwendungsprogrammierung nicht anders, ich koennte Fluchen ueber die schrulligen APIs von Windows. Die neuen APIs sind Layer oder komplett eigenstaendig und Microsoft laesst sich wieder fallen (Win32, MFC, WTL, ATL, Windows Forms, WPF, WinUI...). MacOS ist formal ein UNIX, braucht jedoch fuer alles eine Extrawurst (Account, Signierung, Notarisierung, App Bundle...es ist ein Fuckup ohne XCode). Linux muss mit Qt und Gtk genau so wirken, aber letztlich sind das Qt{1,2,3,4,5,6} und Gtk {1,2,3,4} und inzwischen Systemd. Inzwischen hat sich durchgesetzt, dass Kontunitaet und Kompatiblitaet wertvoll sind.

Leider gilt in der IT auch "Wer als erster mehr User hat gewinnt..." (also schnell Pfuschen).
 
Zuletzt bearbeitet:
Zurück
Oben