Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Google Chrome: Neue Version schützt vor aktiv ausgenutzter Sicherheitslücke

Google hat eine neue Version des Chrome-Browsers veröffentlicht. Hierbei handelt es sich um Version 107.0.5304.121 für macOS und Linux sowie 107.0.5304.121/.122 für Windows. Das Update enthält lediglich einen Sicherheitsfix, der eine Sicherheitslücke, gelistet unter CVE-2022-4135, abdichtet. Laut Google ist es so, dass die Sicherheitslücke auch bereits aktiv ausgenutzt wird, sodass es ratsam ist, seinen Browser schnell auf den aktuellen Stand zu bringen.

Chrome Download

Du musst Regestriert sein, um das angehängte Bild zusehen.


Quelle; Caschys
 
Webbrowser Chrome 108 dichtet 28 Sicherheitslücken ab

Das Update auf den Webbrowser Chrome 108 liefert im Wesentlichen Fehlerkorrekturen, die 28 Schwachstellen schließen. Neue Funktionen für Endanwender fehlen.

Du musst Regestriert sein, um das angehängte Bild zusehen.


Google hat wie geplant die Version 108 des Webbrowsers Chrome veröffentlicht. Für Endanwender scheinen keine neuen Funktionen bereitzustehen. Allerdings schließen die Entwickler 28 Sicherheitslücken, die die Sicherheit der Nutzerinnen und Nutzer gefährden.

Hochriskante Lücken

Von den 28 Schwachstellen stuft Google acht als hohes Risiko ein, während 14 weitere Lecks eine mittlere Bedrohung darstellen. Der Erläuterung in der Release-Meldung von Google zufolge wurden diese 22 Lücken von externen IT-Forschern gemeldet. Informationen zu den sechs übrigen Lücken fehlen vollständig.

Um die Sicherheit der Browsernutzenden nicht zu gefährden, hält Google Details zu den Schwachstellen einige Zeit zurück. Es gibt lediglich einen Hinweis auf die Art der Lücke und betroffene Komponenten. Aufgrund der Höhe der Belohnung, die Google den Entdeckern der Lücken zahlt, lässt sich in gewissen Grenzen auch deren Gefährdungspotenzial einschätzen.

Wie so oft findet sich etwa in der JavaScript-Engine V8 eine hochriskante Sicherheitslücke aufgrund einer sogenannten Type Confusion. Dabei passen Datentypen bei Übergaben innerhalb des Programmcodes nicht zueinander, was zu unbefugten Speicherzugriffen und unter Umständen gar zur Ausführung eingeschleusten Codes führen kann. Die Belohnung in Höhe von 15.000 US-Dollar für den Entdecker spricht ebenfalls für derartige Auswirkungen (CVE-2022-4174).

Eine weitere Schwachstelle, die Angreifer vermutlich mit manipulierten Webseiten zum Unterschieben von Schadcode missbrauchen können, betrifft die Camera-Capture-Komponente. Der Melder der Lücke erhält dafür 11.000 US-Dollar Belohnung. Es handelt sich dabei um eine Use-after-free-Lücke, bei der Speicherbereiche oder Zeiger genutzt werden, obwohl sie bereits derefenziert wurden. Bei dieser Art von Schwachstelle kann oftmals untergejubelter Code zur Ausführung gelangen (CVE-2022-4175). Für die anderen Schwachstellen schüttet Google weniger Geld zur Belohnung aus oder muss die Höhe noch festsetzen, weshalb sie wahrscheinlich weniger riskant sind.

Aktuelle Versionsstände

Die Schwachstellen sind in den aktuellen Fassungen nicht mehr vorhanden. Die jetzt aktuellen Versionsnummern lauten 108.0.5359.71 für Linux und Mac, 108.0.5359.71/72 für Windows, 108.0.5359.61 für Android sowie 108.0.5359.52 für iOS. Die Mobilebrowser sollen dieselben Sicherheitslücken schließen wie die Desktop-Versionen, erläutert Google in den Releasenotes für Chrome für Android.

Um zu prüfen, ob die laufende Chrome-Version aktuell ist, können Nutzerinnen und Nutzer auf das Einstellungsmenü von Chrome klicken, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende müssen sie dann auf "Hilfe", anschließend auf "Über Google Chrome" klicken. Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen.

Da die Schwachstellen auch andere Browser betrifft, die auf dem Chromium-Projekt basieren wie Edge von Microsoft, dürften dafür in Kürze ebenfalls Sicherheitsupdates bereitstehen, die Nutzer zeitnah installieren sollten. Erst Ende vergangener Woche hat Google ein Notfall-Update für Chrome veröffentlicht. Damit schlossen die Entwickler eine bereits aktiv angegriffene Zero-Day-Lücke in dem Webbrowser.

Quelle; heise
 

Anhänge

Du musst angemeldet sein, um die Anhangsliste zu sehen.
Google Chrome 108.0.5359.94/.95 schließt eine Sicherheitslücke, die schon ausgenutzt wird

Nach den 28 Sicherheitslücken vor drei Tagen aktualisiert Google den Chrome Browser im Stable und Extended Kanal. Und auch im Android Browser von Google wird eine Sicherheitslücke korrigiert, die schon in der freien Wildbahn unterwegs ist.

Die Sicherheitslücke wurde als CVE-2022-4262 gekennzeichnet und mit „High“ eingestuft. Daher ist das Update sehr wichtig. Die neue Versionsnummer ist die 108.0.5359.94 für Mac und Linux, 108.0.5359.94/.95 für Windows in der Stable und Extended sowie 108.0.5359.79 für Android.

Die genaue Beschreibung der Lücke kommt wie immer erst, wenn die meisten Browser auf diese Version aktualisiert haben. Die anderen Chromium Browser werden dann nach und nach auch diese Sicherheitslücke korrigieren.

Info und Download:


Quelle; deskmodder.
 
Notfall-Update: Zero-Day-Sicherheitslücke in Google Chrome unter Beschuss

Google hat ein ungeplantes Update für den Google Chrome herausgegeben. Es schließt eine Sicherheitslücke im Webbrowser, die derzeit angegriffen wird.

In der Nacht zum Samstag hat Google ein ungeplantes Sicherheitsupdate für den Webbrowser Google Chrome veröffentlicht. Es schließt eine hochriskante Sicherheitslücke, die bereits aktiv angegriffen wird.

Schwachstelle in JavaScript-Engine

Die Lücke, für die in freier Wildbahn ein Exploit existiert, wie Google es in der Release-Meldung formuliert, betrifft die JavaScript-Engine V8. Aufgrund einer sogenannten Type Confusion können Angreifer potenziellen Opfern offenbar Schadcode unterjubeln, und das relativ einfach (CVE-2022-4262). Daher stuft Google die Schwachstelle als "hohes" Risiko ein.

Eine Type-Confusion-Lücke entsteht dann, wenn im Programmcode Zugriffe auf Ressourcen mit einem inkompatiblen Datentyp erfolgen. Dabei können etwa Speicherbereiche fälschlicherweise überschrieben werden. Genau das passiert auch laut CVE-Eintrag: Angreifer können mit präparierten Webseiten eine Speicherverwürfelung auf dem Heap auslösen.

Mit der Aktualisierung auf Google Chrome 108.0.5359.79 für Android, 108.0.5359.94 für Linux und Mac sowie 108.0.5359.94/.95 für Windows beheben die Entwickler diesen sicherheitsrelevanten Fehler. Da das automatische Update laut Google in den kommenden Tagen bis Wochen verteilt wird, sollten Chrome-Nutzer die Aktualisierung besser manuell anstoßen.

Jetzt aktualisieren

Die Prüfung der aktuell laufenden Version von Chrome beginnt mit einem Klick auf das Einstellungsmenü von Chrome, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende des Menüs geht es dann weiter über die Einträge "Hilfe", um anschließend auf "Über Google Chrome" zu klicken. Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen.

Da die JavaScript-Engine V8 auch im Chromium-Browser zum Einsatz kommt, steht auch für andere Chromium-basierte Webbrowser wie Microsofts Edge in Kürze sehr wahrscheinlich eine Aktualisierung an. Nutzerinnen und Nutzer sollten sie aufgrund des Exploits in freier Wildbahn zügig installieren.

Zum Mittwoch der Woche hatte Google erst die Aktualisierung auf den 108er-Entwicklungszweig herausgegeben. Vorrangig war auch hier das Schließen von 28 Sicherheitslücken. Neue Funktionen für Endnutzer gab es dabei nicht.

Quelle; heise
 
Zurück
Oben