Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NotizBrowser: Google schließt weitere kritische Lücke in Chrome
Google hat mit einem neuen Update eine als kritisch eingestufte Sicherheitslücke in seinem Browser Chrome geschlossen. Nutzer sollten die korrigierte Version daher schnellstmöglich installieren, um mögliche Angriffe zu verhindern.
Alleine schon aus Sicherheitsgründen sollte man Chrome meiden und Firefox verwenden. Als positiven Nebeneffekt setzt man mit Firefox auch ein Statement gegen das Browser Monopol. Wem Firefox nicht gefällt, der sollte sich den Zen Browser anschauen, der auf Firefox basiert.
Irgendwie schafft Chromium es immer wieder, negativ aufzufallen. In der Android-WebView ist seit mehr als einem Jahrzehnt die Methode evaluateJavascript(...) fehlerhaft. Will man darüber beispielsweise die HTML abfragen, wird diese einem mit fehlerhaften Sonderzeichen ausgegeben. Laut ChatGPT liegt dies daran, dass der Text nicht "so wie er ist" zurückgegeben wird, sondern zunächst in eine JSON gepackt und dann aus dieser wieder extrahiert wird. Da JSON bestimmte Sonderzeichen nicht unterstützt, sind diese in der finalen Ausgabe irreparabel verloren.
Als funktionierender Workaround muss kurz JavaScript aktiviert und dasselbe Skript über loadUrl(...) ausgeführt werden, was das gewünschte Resultat dann fehlerfrei und vermutlich ohne Umwege ausgibt. Da dafür aber JavaScript kurz für die gesamte WebView aktiviert werden muss, ist auch das ein potenzielles Sicherheitsrisiko. Der Fehler in der erst genannten Methode ist seit dessen Implementierung vor 12 Jahren (API 19 aka Android 4.4) bekannt und wurde immer noch nicht behoben.
Ist das so? Im laufenden Jahr sehe ich 50 (Firefox) vs 40 (Chrome).
Bei 70% vs 5% Marktanteil ist die andere Frage, wo mehr hingeschaut wird? Ich denke man sollte daraus keinerlei Rückschlüsse ziehen, ohne dass das jemand mit Ahnung einordnet. Absolute Zahlen erweisen sich zumindest sehr oft binnen Minuten als reines Blendwerk.
bei chrome sind die aber schwerwiegender, "code execution" oder "privilege escalation" möchte man im browser eher nicht haben und gerade dort fällt chrome immer wieder auf.
Auch die Häufigkeit wie Updates dann von Chrome implementiert (ausgerollt) werden müssen bei uns ist nervig und man kann die Uhr danach stellen das Edge in 2-3 Tagen nachzieht, was je nach deployment Methode einfach maximal unangenehm ist und ich eigentlich jede Woche einen Change habe.
@0x8100 Ich wollte damit eigentlich nur plakativ illustrieren, wie wenig sinnvoll es ist mit einzelnen absoluten Zahlen zu hantieren, weil ohne ins Detail zu gehen "beide Aussagen richtig sind", sich daraus aber keinerlei Schlüsse ableiten lassen.
@StevenB Ich als IT-Dienstleister freue mich über jeden 365-Nutzer der den Edge benutzt und darin seine gesamte Grütze synchronisiert, anstelle der Realität mit der ich mich täglich konfrontiert sehe, in der jeder seinen Lieblingsbrowser benutzt, drei Jahre alte Firefox/Chrome-Pakete verteilt werden, keine ADMX-Templates jemals dafür genutzt wurden und entsprechend gar keine zentrale Verwaltung irgendeiner Art stattfindet (außer der Verteilung eines steinalten Browsers) und damit Grunde seit Jahren einzig und allein auf die integrierten Updater vertraut.
Wenn da ein User ein neues Gerät bekommt, kann ein Supporter erstmal die Grütze aus drei Browsern zusammenkehren und die Leute kleben überall ihre privaten Konten rein...
Nicht das man andere Browser nicht ordentlich zentral verwalten kann, nur passiert das viel seltener als anders herum.
Seit wann nutzt Chrome auf iOS seine eigene Rendering Engine? Der V8 Bug kann dort gar keine Rolle spielen da Chrome auf iOS Webkit nutzen muss. Zwar dürfte Google in der EU einen echten Chrome für iOS rausbringen, aber bisher tun sie das meines Wissens nach nicht.
Moment. Läuft Chrome iOS nicht auf Basis von Apples Webkit, oder hat sich da was geändert?
Früher durften Dritt-Browser keine eigene Browser-Engine mitbringen?
Also mein Chromium-Paket enthält den 141.0.7390.122-1 und wurde am 22.10. verteilt.
Der entsprechende Commit im Source-Repository ist auf abends den 20.10. datiert.
Man kann also so grob anderthalb bis 2 Tage sagen, bis der in-Source-Patch in Form eines fertigen Paketes bei mir auf dem Rechner landet.
Da Edge ebenfalls unter der Haube Chromium benutzt und wenn dann da ein auch für sie relevanter Bug auftritt, sind die vermutlich schlechter dran. Weil die müssen ja erst mal den Chromium-Patch importieren und mit all den internen Prozessen bis das dann irgendwann zum Endkunden geht, dauert bestimmt mehr als 2 Tage. So übrigens auch hier (Stand: jetzt) auf:
https://learn.microsoft.com/deployedge/microsoft-edge-relnotes-security
Dienstag, 21. Oktober 2025
Microsoft ist sich der neuesten Chromium-Sicherheitsfixes bewusst. Wir arbeiten aktiv an der Veröffentlichung eines Sicherheitsfixes.
@andy_m4 Ich beziehe mich auf Installationspakete die in Verwaltungslösungen von Unternehmen verteilt werden (SCCM/Workspace ONE/Intune), die mal irgendjemand bereitgestellt und dann nie zurück geschaut hat. Du enrollst ein Gerät und kriegst erstmal nen brandneuen Chrome 69 installiert. Das der sich noch selbst updaten kann, dass kann man natürlich hoffen. Sicherheitskonzepte die auf Hoffnung basieren, erachte ich allerdings als "schwierig".
Ja gut. Wer schlechte Lösungen wählt und/oder die nicht richtig benutzt, bekommt ein schlechtes Ergebnis. Das ist jetzt keine originelle Erkenntnis.
Ich versteh dann auch nicht ganz den Sinn von den von Dir genannten Tools. Wenn ich da selber was paketieren muss und nicht mal irgendwie (halb-)automatisiert auf die eigentliche Upstream-Software zugreifen kann und stattdessen selber paketieren muss: Wozu brauch ich dann diese Software?
Du brauchst die gar nicht. Unternehmen brauchen die, um Ihre Endgeräte zentralisiert zu verwalten. Wie jedes Werkzeug, muss es halt (überhaupt und richtig!) benutzt werden.
