News Google Chrome: Sicherheitspatches kommen in Zukunft wöchentlich

[Simon#G]

Wie fehlerhaft muss so ein Produkt sein?

Sehr fehlerhaft. Wie jedes Softwareprodukt ab einer gewissen Größe. Die Chromium Codebase hat rund 29 Millionen Zeilen Code. Etwa die Hälfte davon in der Sprache C++, die berüchtigt ist für ihre Fallstricke.
Man rechnet grob mit einem Fehler pro 1000 Zeilen bei "gutem" Code. Nur mal so als Einschätzung der Größenordnung.

 

[Dante2000]

Windows? Zumindest seit wir in der Firma von Win 10 auf 11 gewechselt haben, gibt es meist am Freitag oder Montag Windows- und/ oder Office-Updates.

Bei Microsoft kommen für alle ihre Produkte in der Regel immer nur am zweiten Dienstag im Monat die neuen Updates raus. Das gilt beispielsweise auch für Firmen wie Adobe. In den seltensten Fällen kommen Updates dazwischen heraus - Ausgenommen Edge - Der hat gefühlt jeden zweiten Tag eine neue Version im Angebot.

Wir haben bei uns immer das folgende Vorgehen:
Zweiter Dienstag im Monat: Updates werden vom WSUS angezeigt. Am nächsten Tag (Mittwoch) werden die für uns relevanten Updates für die Testgruppe freigegeben. Sollte es bis zum nächsten folgenden Dienstag keine "Beschwerden" geben, wird es für das restliche Unternehmen freigegeben. Sprich unsere Clients im Feld sind immer mit ca. einer Woche im Verzug.

Bei "Kritischen" Updates (CVE Ratings über 7.0) überspringen wir die Testphase - Je nach Entscheidung der oberen Ebenen bei uns im Unternehmen - und geben diese direkt ins produktive Feld frei. Edge "Extended" Updates werden in der Regel immer direkt ins produktive Feld gegeben, solange sich die "Hauptversion" nicht geändert hat. Hat sich die Version geändert, wird dies erst im Vorfeld geprüft, bevor es freigegeben wird.

 

[pseudopseudonym]

was sagt uns das über das Produkt?

Dass es von vielen genutzt und anständig gepflegt wird.

Sorry, aber bei Aussagen wie deiner habe ich (wie vermutlich viele andere mit Informatik-Studium) instant Kopfschmerzen.

 

[devanet]

Wenn man Wert auf Datensicherheit (ich schreibe bewusst nicht Datenschutz) legt, ist man mit dem Chrome Browser wirklich gut beraten. Finde Googles Update Strategie vorbildlich. Bleibt zu wünschen das hier die restlichen Chromium basierten Browser mitziehen (Edge, Vivaldi, Opera, Brave). Weiß gar nicht wie dort der Update-Zyklus aktuell aussieht?

Soweit ich das bisher festgestellt hat, erscheint ein Update für Chrome 0-2 Tage später auch bei Vivaldi (Vivaldi Repo). So zumindest meine Erfahrung auf Linux bisher.

 

[Project 2501]

Bei welchem Produkt bekommst du denn überhaupt wöchentliche updates? 🤔

LineageOS

 

[G00fY]

Bei LineageOS sind das per Definition aber eher Nightly Builds und keine Software-Releases wie man sie im üblichen Stable Release Lifecycle kennt. Sowas gibts auch für Chrome beispielsweise: Chrome Canary

Richtet sich aber dann an Entwickler und Enthusiasten und erfüllt nicht die Standards im Hinblick auf Qualitätssicherung. Unter dem Aspekt der Sicherheit sind häufige Releases nicht automatisch mit erhöhtem Schutz gleichzusetzen.

 

[Weyoun]

Bei Microsoft kommen für alle ihre Produkte in der Regel immer nur am zweiten Dienstag im Monat die neuen Updates raus.

Vielleicht liegt es an unserer Enterprise-Lizenz, dass die Updates bei uns an anderen Tagen kommen, oder die Admins können den Rollout um ein paar Tage verschieben?

 

[Dante2000]

Die Admins, bin in dem Fall selbst der Hauptverantwortliche von unserem WSUS (für Clients), können das frei selbst bestimmen, das ist korrekt.

Wir arbeiten zumindest bei uns dahingehend "schnellstmöglich". Vorteil einer "verzögerten Verteilung" ist, das man so leichter Probleme etc. auf neu verteilte Updates eingrenzen kann. Windows Updates sind ja bekannt dafür, öfters mal ernsthaften Schaden / Mist anzurichten.

Daher kann ich auch das Vorgehen in deinem Unternehmen nachvollziehen. Die Windows Lizenz ist für die Verteilung der Windows Updates übrigens irrelevant.

 

[Engaged]

LineageOS

Also bei handelsüblicher Software gar nicht, dann ist Google doch auf ein sehr guten Weg mit diesen Schritt! 🤝

Ergänzung (9. August 2023)

Windows? Zumindest seit wir in der Firma von Win 10 auf 11 gewechselt haben, gibt es meist am Freitag oder Montag Windows- und/ oder Office-Updates.

Bei der end user Version dann zweimal im Monat wovon das zweite dann auch nur bugfixes sind.

Da mir jetzt hier nur Firmen Software und frickel Software genannt wurde, würde ich mal sagen sind Google wohl einer der wenigsten die so einen schnellen Rollout bei handelsüblicher endkundensoftware ausrollen, und trotzdem wird hier geweint, ganz großes Kino! 🤓👍

 

[Skellgon]

Geil, freut sich unser SCCM Team

 

[Thaxll'ssillyia]

Das ist aber meist im Widerspruch dazu wie Entwicklerteams arbeiten. Wenn das z.B. Scrums-Teams sind, dann werden halt innerhalb von einem Sprint bestimmte Bugs/Features etc. behoben/implementiert und nach dem Sprint kommt dann evtl. ein Release.

Ja, finde den Fehler. Vielleicht sollte man drüber nachdenken dass das achso heilige Scrum für Sicherheits-Thematiken eben nicht der richtige Weg ist...

 

[Krausetablette]

...dass das achso heilige Scrum für Sicherheits-Thematiken eben nicht der richtige Weg ist...

Was wäre denn deiner Meinung nach der richtige Weg? Patch schreiben, direkt releasen und mit der Hoffnung das es gut geht einfach gucken was passiert?

 

[Thaxll'ssillyia]

Nehmen wir an bei Sprintzyklus eine Woche:

• Montag ist immer Release
• Dev braucht 2 Tage für den Fix
• QA braucht 2 Tage zum Testen

Jetzt wird Mittwoch der Fehler gefunden, der ist Freitag gefixt, Dienstag von der QA getestet.

Nach Scrum wäre der Patch Montag die darauffolgende Woche draußen.
Wenn man sofort released dann Dienstag. Ist 6 Tage eher.

Ein Release ist heutzutage nur noch ein Knopfdruck. Und die Zeit zum Implementieren/QA ist doch unabhängig von irgendeinem Sprint-Zyklus, sondern nach Qualitätskriterien.

Und nein: Der Nutzer testet keinen Bugfix, der Sicherheitsrelevant ist. Der kann das gar nicht. Das muss schon die interne Qualitätssicherung machen.

 

[~XxX~]

Ein Produkt, für das jede Woche Sicherheitspatches rauskommen...... was sagt uns das über das Produkt?
Wie fehlerhaft muss so ein Produkt sein?

Ich würde so ein Produkt nicht nutzen wollen.

Mit welcher Software hast du denn gerade das Forum besucht und diesen Kommentar verfasst?

Chromium hat fast 38 29 Millionen Lines of Code (LoC) von ca. 3000 verschiedenen Entwicklern. Dazu kommen noch Bestandteile wie die JavaScript Engine V8 (aktuell ca 2,3 Millionen LoC) die Chrome nutzt. Diese Software entwickelt sich stetig weiter, hat eine umfangreiche Unterstützung unterschiedlichster Betriebssysteme, Prozessorarchitekturen, Verschlüsselungsalgorithmen und -standards.

Danke! Es gibt doch noch Menschen die es verstehen

 

[aid0nex]

Wenn man Wert auf Datensicherheit (ich schreibe bewusst nicht Datenschutz) legt, ist man mit dem Chrome Browser wirklich gut beraten.

Wie kommst du zu der Annahme dass Firefox bzw. Gecko basierte Browser eine nicht so hohe Datensicherheit bieten? Übrigens: Einen höheren Datenschutz bieten sie mit 100%iger Sicherheit.

 

[complainerbase]

Bezüglich Security ist sowieso die ganze IT-Welt kaputt.

Ist schön dass mein Chrome Browser wöchentlich neue Sicherheitsupdates aber was nützt das im Großen und Ganzen wenn alles darunterliegende (OS Version, BIOS, Hardwarechips, Netzwerkinfrastruktur, etc.) auch für Sicherheitslücken anfällig ist.

Außerdem werden nur die CVEs gepatcht die als öffentlicht bekannt ausgewiesen sind. Wer weiß wie viele Hersteller ganze Bücher mit Sicherheitslücken in der Hinterhand haben, die die Öffentlichkeit noch gar nicht kennen.

Dann gibt es bspw. noch in Routern eingebaute Backdoors die der ISP als "Dienstleistungsvereinfachung" hinstellen will um Remote-Zugriff auf dein IP-Netzwerk zu erhalten (siehe TR-069 Protokoll auf Fritzboxen).

Im "Internet" selbst kann das BGP Routing manipuliert werden um Serververbindungen auf maliziöse Server umzuleiten, etc.

Der Staat kann dir auf beliebigen Endgeräten einen Trojaner unterjubeln ohne dass du davon etwas merkst. Dazu ist nicht einmal ein aussagekräftiger Verdacht notwendig.

 

[tollertyp]

@Thaxll'ssillyia

Na ja, der Patch muss ja auch erstmal erstellt werden und das kann im dümmsten Fall äußert komplex sein.

Du hast ihn halt bewusst missverstanden. Am Aufwand für die Korrektur ändert sich durch den Release-Zyklus ja nichts, nur wartet man hier ggf. mit dem eigentlich fertigen Fix, bis man das nächste Release ausliefert.

 

[Atma]

Absolut vorbildlich. Die Sicherheit ist einer der Gründe warum ich Chrome schon seit so vielen Jahren nutze.

 

[c2ash]

@complainerbase

Du erzählst leider hier viele Verschwörungsmythen. TR-069 ist ein Standard, der erstmal überhaupt nichts mit Fritzboxen zu tun hat.
Quelle: Wiki

BGP selbst kann nicht manipuliert werden, weil BGP ein Protokoll ist. Wenn die Implementierung eines Protokolls beschissen ist, kann das Protokoll nichts dafür. Und falls du sowas wie Route Hijacking etc meinst, dann ist das auch kein Protokoll-Problem, sondern hier wird einem malicious-device getraut. Das hat also nichts mit dem Protokoll zu tun.
Wenn jemand in Phishing Mails auf den Inhalt klickt und alles mit JA bestätigt, ist ja auch nicht TCP für die Zustellung schuld oder das IMAP. Du musst schon Ursache und Wirkung unterscheiden.

 

[Hito360]

Das ganze bedeutet dann nicht nur schnellere Update Frequenz, sondern wenn chromebooks dann EOL erreichen können sie noch weiter genutzt werden solange der Browser Updates bekommt, denn der Unterbau ist ja eigentlich ganz schön robust!

auf unsicherem OS surfen? da kannst ja auch WinXP nutzen....ein Browser wird vor OS-Luecken nicht schuetzen