News Chrome 116: Google schließt vier massive Sicherheitslücken

mischaef · 23. August 2023

Google schließt mit dem neuen Update für Chrome 116 fünf Sicherheitslücken in seinem Webbrowser, von denen die meisten ein massives Bedrohungspotenzial aufweisen. Nutzern wird daher empfohlen, das Update schnellstmöglich zu installieren.

Zur News: Chrome 116: Google schließt vier massive Sicherheitslücken

Cool Master · 23. August 2023

Wie sieht das bei Vivaldi aus? Ich habe die neuste Version mit Chromium 114.0.5735.321 ist das mit Chrom gleichzusetzen oder gibt es da ein Unterschied? Also nutzt Chrome 116 Chromium 114?

Herr-A · 23. August 2023

Frage von einem Laien: Es gab ja auch einen Patch für iOS und Android. Dabei wird iOS von Apple immer als besonders sicher dargestellt. Gibt es da Unterschiede, was mit den Sicherheitslücken z.B. auf einem iPhone oder einem Windows-Rechner möglich gewesen wäre? Hält sich das bei iOS dann in den Grenzen des Browsers (also werden irgendwelche Session-Cookies oder Passwörter abgegriffen?) und bei Desktop-Systemen nicht?

Reset90 · 23. August 2023

Immer wieder erstaunlich wie viele massive Sicherheitslücken man in einem Browser findet, der 15 Jahre alt ist

wertzuiop123 · 23. August 2023

Cool Master schrieb:
Wie sieht das bei Vivaldi aus? Ich habe die neuste Version mit Chromium 114.0.5735.321 ist das mit Chrom gleichzusetzen oder gibt es da ein Unterschied? Also nutzt Chrome 116 Chromium 114?

Wenn sie betroffen sind (muss nicht immer sein) ziehen sie normalerweise nach z.B. https://www.pcwelt.de/article/20192...er-brave-und-vivaldi-sind-wieder-aktuell.html

Wenn sie die letzte Chromium-Version nutzen, dürfts eh passen. Solche Sicherheitsupdates dürften sie nicht soo lange vor sich her ziehen https://chromiumdash.appspot.com/releases?platform=Windows

Foxel · 23. August 2023

Cool Master schrieb:
Wie sieht das bei Vivaldi aus? Ich habe die neuste Version mit Chromium 114.0.5735.321 ist das mit Chrom gleichzusetzen oder gibt es da ein Unterschied? Also nutzt Chrome 116 Chromium 114?

Wird das gleiche sein die betroffenen Lücken sind sicher durch die neue WebGPU API entstanden mit Vulkan als Backend

. Da das Vulkan Backend allerdings nur unter Linux verwendet wird und das default noch nicht aktiv ist hält sich der Schaden vmt. in Grenzen.

DieRenteEnte · 23. August 2023

@Reset90
Man darf nicht vergessen, dass mit laufender Weiterentwicklung auch laufend neue Sicherheitsprobleme in Software hinzukommen. Sowohl unbewusst als auch bewusst.

AthlonXP · 23. August 2023

ja genau, einen schritt vor und zwei zurück

Dante2000 · 23. August 2023

Regelmäßige, bzw nahezu tägliche Updates für den Chrome und Edge gehören mittlerweile zur Tagesordnung.

Tatsächlich sollte man die vielen Fehlerbehebungen jedoch sehr positiv sehen. Seit ca. 2018 herum fingen Unternehmen endlich an, die Sicherheit ihrer Produkte aktiv im Fokus zu haben. Das ist ein riesiger Fortschritt.

Nur weil es früher nicht so viele Updates gab, waren die Produkte definitiv nicht besser geschweige den sicherer. Es hat nur niemand interessiert.

Ich habe, unter anderem, die BSI Sicherheitsmeldungen in meinem RSS-Feed. Gefühlt werden im Sekundentakt neue Fehler gefunden - Aber das gut ist: Sie werden in der Regel auch sehr schnell, wenn nicht sogar umgehend gelöst.

Mac-4-Life · 23. August 2023

Herr-A schrieb:
Frage von einem Laien: Es gab ja auch einen Patch für iOS und Android. Dabei wird iOS von Apple immer als besonders sicher dargestellt. Gibt es da Unterschiede, was mit den Sicherheitslücken z.B. auf einem iPhone oder einem Windows-Rechner möglich gewesen wäre? Hält sich das bei iOS dann in den Grenzen des Browsers (also werden irgendwelche Session-Cookies oder Passwörter abgegriffen?) und bei Desktop-Systemen nicht?

Bei iOS ist es so daß es durch die Geschlossenheit und die regelmäßigen Sicherheitsupdates kaum angreifbar ist. Da muss viel ungünstig laufen für ein Risiko.

Homer Sanchez · 23. August 2023

Bei iOS kann man eher von Security by obscurity sprechen.

Phintor · 23. August 2023

Mac-4-Life schrieb:
Bei iOS ist es so daß es durch die Geschlossenheit und die regelmäßigen Sicherheitsupdates kaum angreifbar ist. Da muss viel ungünstig laufen für ein Risiko.

Leider ist das ein Trugschluss. Gerade ios Geräte und Macs werden bei Hacathlons regelmäßig am schnellsten geknackt.
Bieten also oft weniger Sicherheit als die Konkurrenz.

CM286 · 23. August 2023

Wurde in Chrome schon der WEI-Standard integriert? Oder ist das noch Zukunftsmusik (die sich hoffentlich nicht durchsetzt)?

Wikipedia sagt: es ist integriert, aber noch nicht aktiv, wenn ich das richtig interpretiere.

Miuwa · 23. August 2023

Reset90 schrieb:
Immer wieder erstaunlich wie viele massive Sicherheitslücken man in einem Browser findet, der 15 Jahre alt ist

Nachdem er ständig weiterentwickelt wird eigentlich nicht.

flaphoschi · 23. August 2023

Herr-A schrieb:
Frage von einem Laien: Es gab ja auch einen Patch für iOS und Android. Dabei wird iOS von Apple immer als besonders sicher dargestellt. Gibt es da Unterschiede, was mit den Sicherheitslücken z.B. auf einem iPhone oder einem Windows-Rechner möglich gewesen wäre? Hält sich das bei iOS dann in den Grenzen des Browsers (also werden irgendwelche Session-Cookies oder Passwörter abgegriffen?) und bei Desktop-Systemen nicht?

Gute Frage.

Der Patch für iOS fällt sicherlich klein aus. Warum? Weil unter iOS nur WebKit verwendet werden darf! Chrome für iOS ist nur eine andere UI für WebKit, mit integrierter Datenabgabe an Google. Die Sicherheitslücken für welche Google selbst in Blink (ein Fork von WebKit) verantwortlich ist entfallen. Mögliche Gründe für ein Update ist aber das Problem bei den Fonts, weitere unkritische Fixes und Versionsnummer auf einem Level zu halten.

Blink ist das U-Boot um WebKit zu schaden. Warum so drastisch?
Apple wird geschädigt, die quelloffene Gemeinschaft aus ehemalige KHTML-Leuten und WebKitGtk wird geschädigt. Google hat so halt nicht nur die Daten angreifen sondern zum Beispiel JavaScript pushen, weil das den eigenen Interessen dient. An Blink arbeitet außer Google kaum jemand? Vivaldi, Opera und Edge haben nichts zu melden.

Von daher ist es “leider” gut das Apple andere Engines unter iOS verbietet. Die Dominanz von Google ist erschreckend, wenn man von Google nicht Chrome vorgesetzt bekommt, macht es Microsoft für sie mit Edge.

Die EU hat die massive Problematik ja mal erkannt und behandelt. Und dann gemeint “Passt scho Microsoft. Ihr seid ein gierig, manipulativ und unfair. Aber wenn Ihr schon den Browserkrieg verloren habt, dürft Ihr Steigbügelhalter für Google sein. Alle Sanktionen aufgehoben!”

facepalm

PS: Nutzt mehr Firefox. Und wer mit GNOME unterwegs ist, bitte Epiphany versuche. Epiphany ist leider speicherhungrig geworden, mit Sandbox und Prozesstrennung. Wer kann soll und darf den Entwicklern bitte helfen.

netzgestaltung · 23. August 2023

Also 1. Ist die Webkit vorschreibung demnächst obsolet, wenn ich das richtig in erinnerung habe und 2. ist mmn eher iOS/Webkit der angeschmierte, weil seit der trennung ist webkit hoffnungslos veraltet. im CSS brauch es immer noch -webkit- vendor prefixes, wärend die der blink (und gecko) längst nicht mehr benötigen und manche eigenschaften sind nach jahren immer noch buggy (flex column page break...) - der neue IE6. Danke an Apple, das sie Flash gekillt haben, aber da haben sie einen frankenstein-browser geschaffen (und mit dem Engine-Zwang gleich noch ein paar dazu.) Grund für die Trennung war ja auch, dass Apple kaum mitgemacht hat und gleichzeitig meistens alles "so belassen" wollte, damit ja alle Apps kompatibel bleiben.

flaphoschi · 24. August 2023

netzgestaltung schrieb:
ist mmn eher iOS/Webkit der angeschmierte, weil seit der trennung ist webkit hoffnungslos veraltet.

Aus wessen Perspektive. Der von Google?

netzgestaltung schrieb:
im CSS brauch es immer noch -webkit- vendor prefixes, wärend die der blink (und gecko) längst nicht mehr benötigen

Womoeglich weil die Dinger von allen verwendet werden und mit webkit- Prefixes sehr viele neue Features etabliert worden sind.

netzgestaltung schrieb:
und manche eigenschaften sind nach jahren immer noch buggy (flex column page break...) - der neue IE6. Danke an Apple, das sie Flash gekillt haben, aber da haben sie einen frankenstein-browser geschaffen (und mit dem Engine-Zwang gleich noch ein paar dazu.) Grund für die Trennung war ja auch, dass Apple kaum mitgemacht hat und gleichzeitig meistens alles "so belassen" wollte, damit ja alle Apps kompatibel bleiben.

Grundsaetzlich moegen Webentwickler nur ihren eigenen Webbrowser, weil der alle Features so bietet wie sie das kennen.

In der Anwendungsprogrammierung nicht anders, ich koennte Fluchen ueber die schrulligen APIs von Windows. Die neuen APIs sind Layer oder komplett eigenstaendig und Microsoft laesst sich wieder fallen (Win32, MFC, WTL, ATL, Windows Forms, WPF, WinUI...). MacOS ist formal ein UNIX, braucht jedoch fuer alles eine Extrawurst (Account, Signierung, Notarisierung, App Bundle...es ist ein Fuckup ohne XCode). Linux muss mit Qt und Gtk genau so wirken, aber letztlich sind das Qt{1,2,3,4,5,6} und Gtk {1,2,3,4} und inzwischen Systemd. Inzwischen hat sich durchgesetzt, dass Kontunitaet und Kompatiblitaet wertvoll sind.

Leider gilt in der IT auch "Wer als erster mehr User hat gewinnt..." (also schnell Pfuschen).

Suche

News Chrome 116: Google schließt vier massive Sicherheitslücken

mischaef

Kassettenkind

Cool Master

Fleet Admiral

Herr-A

Cadet 4th Year

Reset90

Lt. Commander

wertzuiop123

Commander

Foxel

Lieutenant

DieRenteEnte

Fleet Admiral

AthlonXP

Commander

Dante2000

Commander

Mac-4-Life

Banned

Homer Sanchez

Ensign

Phintor

Cadet 4th Year

CM286

Lt. Junior Grade

Miuwa

Commodore

flaphoschi

Lt. Commander

netzgestaltung

Captain

flaphoschi

Lt. Commander

Ähnliche Themen