Google hat den Webbrowser Chrome in Version 119 veröffentlicht. Sie schließt 15 Sicherheitslücken und etabliert den HTTPS-Upgrade-Mechanismus.
Die Google-Entwickler haben ihren Chrome-Webbrowser auf Versionsstand 119 gehoben. In der aktualisierten Fassung bessern sie 15 Schwachstellen aus. Zudem ist jetzt der Mechanismus "HTTPS-Upgrades" standardmäßig aktiv.
Chromium-Lücken mit hohem Risiko
Von den 15 Sicherheitslücken wurden 13 von externen IT-Forschern gemeldet, zu zwei Schwachstellen fehlen daher jedwede Informationen. Drei Lücken stufen die Programmierer als hohes Risiko ein, acht als mittlere Bedrohung und zwei als niedrigen Bedrohungsgrad.
Ganze 16.000 US-Dollar Belohnung hat Google der Versionsankündigung zufolge Vsevolod Kokorin zugestanden, der eine "unangemessene Implementierung in Payments" gemeldet hat (CVE-2023-5480, kein CVSS-Wert, Risiko "hoch"). In der USB-Komponente wurden Daten nicht ausreichend überprüft (CVE-2023-5482, hoch) und ein Integer-Überlauf konnte zudem im USB-Code auftreten (CVE-2023-5849, hoch). Angreifer könnten vermutlich aufgrund der Schwachstellen etwa mit manipulierten Webseiten Schadcode einschleusen – Angaben zu den möglichen Auswirkungen der Schwachstellen macht Google nicht.
Bislang unbemerkt haben die Entwickler bereits Mitte Oktober die Option "HTTPS-Upgrades" in Chrome scharfgeschaltet. Die sorgt dafür, dass URLs, die unverschlüsselt mit http:// angesprochen werden, standardmäßig zuerst mit verschlüsseltem
Update-Check durchführen
Die neuen Versionen lauten jetzt Chrome 119.0.6045.66 für Android, 119.0.6045.109 für iOS, 119.0.6045.105 für Linux und Mac sowie 119.0.6045.105/.106 für Windows. Die Anzeige der aktuell laufenden Browser-Fassung und der Update-Prozess lassen sich durch das Öffnen des Versionsdialogs anstoßen. Der findet sich im Einstellungsmenü, das ein Klick auf die drei gestapelten Punkte rechts von der Adressleiste öffnet, und dort weiter über den Weg "Hilfe" – "Über Google Chrome".
Linux-Nutzer müssen in der Regel die Softwareverwaltung ihrer Distribution für das Anwenden der Aktualisierung bemühen. Die Mobil-Betriebssysteme stellen das Update in den jeweiligen App-Stores bereit. Die Fehler betreffen das Chromium-Projekt, auf das auch andere Hersteller – etwa MIcrosoft mit dem Edge-Browser – aufsetzen. Für die dürfte in Kürze ebenfalls eine Aktualisierung bereitstehen, die Nutzerinnen und Nutzer zügig installieren sollten.
Das Chrome-Update in der vergangenen Woche hatte zwei Sicherheitslücken geschlossen. Lediglich zu einer davon hatte Google rudimentäre Informationen geliefert.
Quelle; heise
Die Google-Entwickler haben ihren Chrome-Webbrowser auf Versionsstand 119 gehoben. In der aktualisierten Fassung bessern sie 15 Schwachstellen aus. Zudem ist jetzt der Mechanismus "HTTPS-Upgrades" standardmäßig aktiv.
Chromium-Lücken mit hohem Risiko
Von den 15 Sicherheitslücken wurden 13 von externen IT-Forschern gemeldet, zu zwei Schwachstellen fehlen daher jedwede Informationen. Drei Lücken stufen die Programmierer als hohes Risiko ein, acht als mittlere Bedrohung und zwei als niedrigen Bedrohungsgrad.
Ganze 16.000 US-Dollar Belohnung hat Google der Versionsankündigung zufolge Vsevolod Kokorin zugestanden, der eine "unangemessene Implementierung in Payments" gemeldet hat (CVE-2023-5480, kein CVSS-Wert, Risiko "hoch"). In der USB-Komponente wurden Daten nicht ausreichend überprüft (CVE-2023-5482, hoch) und ein Integer-Überlauf konnte zudem im USB-Code auftreten (CVE-2023-5849, hoch). Angreifer könnten vermutlich aufgrund der Schwachstellen etwa mit manipulierten Webseiten Schadcode einschleusen – Angaben zu den möglichen Auswirkungen der Schwachstellen macht Google nicht.
Bislang unbemerkt haben die Entwickler bereits Mitte Oktober die Option "HTTPS-Upgrades" in Chrome scharfgeschaltet. Die sorgt dafür, dass URLs, die unverschlüsselt mit http:// angesprochen werden, standardmäßig zuerst mit verschlüsseltem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
aufgerufen werden. Die Funktion war offenbar seit Juni im Test, wie eine Diskussion der Funktion in Google Groups aufzeigt. Sofern eine Gegenstelle https-Verbindungen zurückweist, fällt Chrome automatisch auf http-Verbindungen zurück. Die HTTPS-Upgrades scheinen jedoch so störungsfrei zu laufen, dass die standardmäßige Einführung erfolgte und bislang keine größeren Probleme bekannt wurden. Im August merkten die Entwickler dazu an: "In unserem 1%-Stable-Experiment [die Funktion wurde bei einem Prozent der Browser aus dem Stable-Zweig aktiviert, Anm. der Redaktion] konnten wir einen erheblichen Rückgang der unsicheren Klartext-HTTP-Navigationsanfragen und keine Regressionen bei den Core Web Vitals-Metriken feststellen".Update-Check durchführen
Die neuen Versionen lauten jetzt Chrome 119.0.6045.66 für Android, 119.0.6045.109 für iOS, 119.0.6045.105 für Linux und Mac sowie 119.0.6045.105/.106 für Windows. Die Anzeige der aktuell laufenden Browser-Fassung und der Update-Prozess lassen sich durch das Öffnen des Versionsdialogs anstoßen. Der findet sich im Einstellungsmenü, das ein Klick auf die drei gestapelten Punkte rechts von der Adressleiste öffnet, und dort weiter über den Weg "Hilfe" – "Über Google Chrome".
Linux-Nutzer müssen in der Regel die Softwareverwaltung ihrer Distribution für das Anwenden der Aktualisierung bemühen. Die Mobil-Betriebssysteme stellen das Update in den jeweiligen App-Stores bereit. Die Fehler betreffen das Chromium-Projekt, auf das auch andere Hersteller – etwa MIcrosoft mit dem Edge-Browser – aufsetzen. Für die dürfte in Kürze ebenfalls eine Aktualisierung bereitstehen, die Nutzerinnen und Nutzer zügig installieren sollten.
Das Chrome-Update in der vergangenen Woche hatte zwei Sicherheitslücken geschlossen. Lediglich zu einer davon hatte Google rudimentäre Informationen geliefert.
Quelle; heise
