2576406

Sicherheits-Updates für Chromium-basierte Browser

25.03.2021 | 09:28 Uhr | Frank Ziemann

Nachdem Google vor knapp zwei Wochen eine 0-Day-Lücke in Chrome 89 geschlossen hat, haben andere Hersteller Chromium-basierter Browser weitgehend nachgezogen. Doch ein wichtiger Browser hat noch immer eine bekannte Lücke.

Am 12. März hat Google seinen Browser Chrome in der neuen Hauptversion 89.0.4389.90 bereitgestellt. Google hat mit diesem Chrome-Update unter anderem eine Schwachstelle (CVE-2021-21193) beseitigt, die zu diesem Zeitpunkt offenbar bereits für Angriffe ausgenutzt wurde. Während Brave und Microsoft (Edge) sehr schnell mit Updates nachgezogen haben, hat es bei Vivaldi und Opera deutlich länger gedauert.

Die neuesten Sicherheits-Updates

Das besagte Chrome-Update kam am Freitagabend heraus, was ungewöhnlich ist und darauf hinweist, dass es tatsächlich bereits Angriffe gegeben haben dürfte. Microsoft hat seinen Browser Edge bereits am Samstag, 13. März, auf die Version 89.0.774.54 aktualisiert, um wieder auf den gleichen Sicherheitsstand wie Chrome zu kommen. Dokumentiert wurde das Update erst nach dem Wochenende. Auch dieses Vorgehen weist auf ein akutes Angriffsrisiko hin. Edge 89.0.774.57 von 18. März liefert einige Bug-Fixes.

Brave war mit Version 1.21.77 vom 15. März ebenfalls recht schnell (immerhin war zwischendurch Wochenende) auf dem Stand der abgesicherten Chromium-Version 89.0.4389.90. Inzwischen ist Brave bei Version 1.22.67 angekommen, hat damit eigene Bugs ausgeräumt.

Die Nachzügler

Vivaldi hat hingegen erst am 19. März den Wechsel auf Chromium 89 vollzogen – bis dahin gab es zwei 0-Day-Lücken im Browser. Vivaldi 3.7.2218.45 ist immerhin gleich mit der Chromium-Version 89.0.4389.91 unter der Haube gestartet und somit erstmal wieder auf der sicheren Seite. Das Update auf Vivaldi 3.7.2218.49 vom 24. März bringt nur Bug-Fixes.

Im Gegensatz dazu hat Opera zwar mehrere Updates für Version 74 bereitgestellt, jedoch erst am 24. März auf Chromium 89 umgestellt. Opera 75.0.3969.93 basiert jedoch noch auf Chromium 89.0.4389.82. Das heißt, auch fast zwei Wochen nach Googles Sicherheits-Update klafft in Opera noch immer eine 0-Day-Lücke, nämlich die oben genannte. Nur die Schwachstelle CVE-2021-21166 vom 2. März ist beseitigt.

Kommentar:
Im Grundsatz ist nachvollziehbar, dass Browser-Hersteller ihre eigenen Zeitpläne verfolgen, die sich an den Entwicklungszielen für bestimmte Versionen orientieren. Doch wenn wie bei Opera zwei Wochen lang zwei 0-Day-Lücken aus dem Basis-Browser (Chromium) klaffen und dann nur eine davon mit einem Update geschlossen wird, stellt sich die Frage, wie ernst man die Sicherheit der Benutzer nimmt. Brave und Microsoft zeigen regelmäßig, dass es besser geht. Brave hat seine Versionsnummern von denen der Chromium-Basis entkoppelt und ist somit flexibler.

Chrome 90 soll am 13. April erscheinen, Chrome 91 am 25. Mai und Chrome 100 am 29. März 2022. Die Terminpläne für neue Chrome-Hauptversionen, die identisch mit denen für die Chromium-Basis sind, veröffentlicht Google also lange im Voraus. Hersteller anderer Chromium-basierter Browser haben somit die Möglichkeit, sich darauf einzustellen – falls sie wollen.

Browser

Version

Chromium-Version

Google Chrome

89.0.4389.90

89.0.4389.90

Microsoft Edge

89.0.774.57

89.0.4389.90

Brave

1.22.67

89.0.4389.90

Vivaldi

3.7.2218.49

89.0.4389.91

Opera

75.0.3969.93

89.0.4389.82

Chromium-basierte Browser – Stand: 24.03.2021

PC-WELT Marktplatz

2576406