Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsGoogle Chrome: Sicherheitspatches kommen in Zukunft wöchentlich
Bisher konnten Nutzer des Google-Browsers Chrome alle vier Wochen mit einem Milestone-Update sowie alle zwei Wochen mit Sicherheitspatches rechnen. Dieses Prozedere will der Entwickler zumindest an einer Stelle aufweichen: Künftig sollen Sicherheitslücken wöchentlich geschlossen werden.
Wenn man Wert auf Datensicherheit (ich schreibe bewusst nicht Datenschutz) legt, ist man mit dem Chrome Browser wirklich gut beraten. Finde Googles Update Strategie vorbildlich. Bleibt zu wünschen das hier die restlichen Chromium basierten Browser mitziehen (Edge, Vivaldi, Opera, Brave). Weiß gar nicht wie dort der Update-Zyklus aktuell aussieht?
Das kommt weil LaCrOs in Fahrt kommt mit Chrome OS 116, war zwar ein langer Übergang und war jahrelang News technisch in der Versenkung verschwunden, aber anscheinend geht es diesen Monat langsam los mit dem Rollout, wenn ich das denn auf den englischen News Seiten richtig verstanden habe.
Google Chrome welcher ja fest in Chrome OS verankert war wird langsam vom OS entkoppelt, wird gemacht damit dieser unabhängig von Chrome OS einfach geupdatet werden kann!
Das ganze bedeutet dann nicht nur schnellere Update Frequenz, sondern wenn chromebooks dann EOL erreichen können sie noch weiter genutzt werden solange der Browser Updates bekommt, denn der Unterbau ist ja eigentlich ganz schön robust!
Eigentlich ist das ein Armutszeugnis. Sicherheitspatches müssen sofort (!) ausgerollt werden und nicht zum nächsten Release. Im dümmsten Fall ist das Scheunentor 6 Tage offen...
Super, die Edge Updates rotieren bereits im gefühlten Sekundentakt in unserem WSUS. Somit dürfte sich die Frequenz noch weiter erhöhen, da alle Sicherheitslückem im Regelfall auch den Edge treffen und Microsoft zeitnahe nachzieht.
Naja, für die Sicherheit auf jeden Fall ein richtiger Weg. Der Administrative Mehraufwand ist ärgerlich, aber "verkraftbar".
Versionierung hinter dem Komma bei den wöchentlichen Updates? 🤷🏻♂️
So ist das zumindestens bei den Chrome OS Updates wenn die außerhalb vom monats Takt kommen.
Eigentlich ist das ein Armutszeugnis. Sicherheitspatches müssen sofort (!) ausgerollt werden und nicht zum nächsten Release. Im dümmsten Fall ist das Scheunentor 6 Tage offen...
Eigentlich ist das ein Armutszeugnis. Sicherheitspatches müssen sofort (!) ausgerollt werden und nicht zum nächsten Release. Im dümmsten Fall ist das Scheunentor 6 Tage offen...
richtig - wöchentlich ist Unfug. Eine "wenn was gefunden ist, so schnell wie möglich" Strategie macht viel mehr Sinn.
Oder andersrum: wollen die uns erzählen, das Ding hat so viele Sicherheitslücken, das man jede Woche was findet?
Zu viele/öftere Updates machen ein Produkt nicht automatisch besser.
Der Angriffsvektor bei Chrome ist dadurch so groß, das es fast jeder nutzt. Von daher sucht jeder "bad actor" da sein Ziel. Das Problem bei Monopolstellung ist einfach nicht zu vermeiden.
Chromium hat fast 38 29 Millionen Lines of Code (LoC) von ca. 3000 verschiedenen Entwicklern. Dazu kommen noch Bestandteile wie die JavaScript Engine V8 (aktuell ca 2,3 Millionen LoC) die Chrome nutzt. Diese Software entwickelt sich stetig weiter, hat eine umfangreiche Unterstützung unterschiedlichster Betriebssysteme, Prozessorarchitekturen, Verschlüsselungsalgorithmen und -standards.
Ich glaube einige haben hier eine etwas unrealistische Vorstellung von Softwareentwicklung. Bei einem Projekt dieser Größe sind regelmäßig auftauchende Sicherheitsschwachstellen praktisch unvermeidbar. Es kommt halt auf die Einstufung bzw. reale Gefahr an. Nicht jede Schwachstelle ist kritisch oder kann ohne weiteres ausgenutzt werden. Die Schwachstellen müssen zudem nicht nur gestopft sondern auch halbwegs gut testet werden.
PS: Selbst in einem Hobby Softwareprojekt kann man fast täglich seine Abhängigkeiten updaten. Diese Vorstellung, dass sich Software bis auf seltene Ausnahmen fehlerfrei programmieren lässt ist naiv.
Welchen Browser nutzt du denn der scheinbar ohne Sicherheitspatches auskommt ? Ich nehm ja lieber eine Software die schnell und zuverlässig patched anstatt es einfach unter den Teppich zu kehren oder lustig die Lücken zu sammeln. Aber jeder wie er es gern hat.
@Thaxll'ssillyia
Und wenn der Patch dann nicht ausgiebig getestet werden kann und mehr Schaden als Nutzen anrichtet, werden sich genau die dann am lautesten beschweren, die sich vorher über die lange Zeit aufgeregt haben.
Eigentlich ist das ein Armutszeugnis. Sicherheitspatches müssen sofort (!) ausgerollt werden und nicht zum nächsten Release. Im dümmsten Fall ist das Scheunentor 6 Tage offen...
Das ist aber meist im Widerspruch dazu wie Entwicklerteams arbeiten. Wenn das z.B. Scrums-Teams sind, dann werden halt innerhalb von einem Sprint bestimmte Bugs/Features etc. behoben/implementiert und nach dem Sprint kommt dann evtl. ein Release (wenn die Tests erfolgreich waren). Und der nächste Sprint folgt dann gleich darauf. Nur weil ein sicherheitsrelevanter Bug behoben wurde wird da noch lange keine Patch daraus gemacht. Microsoft und Co. reagieren meist ja nicht mal nach 90 Tagen auf ein CVE, sodass die Lücken dann z.B. durch Google publik gemacht werden.
