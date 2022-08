Frank Ziemann

Google hat seinen Browser Chrome in der neuen Hauptversion 105 bereitgestellt. Die Entwickler haben 24 Sicherheitslücken im Browser geschlossen, eine davon ist als kritisch eingestuft.

Mit Chrome 105.0.5195.52/53/54 für Windows (105.0.5195.52 für macOS und Linux) bringt Google seinen Web-Browser in die Generation 105. In der neuen Hauptversion haben die Entwickler 24 Schwachstellen beseitigt. Möglichkeiten zur Manipulation der Zwischenablage sorgen zurzeit für Diskussionen.



Im Chrome Release Blog führt Prudhvikumar Bommana diejenigen 21 der insgesamt 24 beseitigten Sicherheitslücken auf, die durch externe Forscher entdeckt und an Google gemeldet wurden. Eine 0-Day-Lücke ist nicht darunter. Google stuft jedoch eine der Schwachstellen (CVE-2022-3038 im Network Service) als kritisch ein, weitere acht als hohes Risiko. Viele sind Use-after-free-Lücken in verschiedenen Browser-Komponenten, etwa in WebSQL, Layout und PhoneHub. Neun Lücken gelten als mittleres, drei als niedriges Risiko.

Bislang hat Google den externen Forschern 62.500 US-Dollar an Prämien zuerkannt. Details zu den intern gefundenen Sicherheitslücken hat Google wie immer nicht veröffentlicht. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen.

Lese- und Schreibzugriff auf die Zwischenablage

Ein Schwachpunkt, der alle Chromium-basierten Browser (Chrome, Edge, Opera, Brave, Vivaldi und weitere) betrifft, wird zurzeit (nicht nur) unter den Chromium-Entwicklern diskutiert . Derzeit ist es einer Website offenbar möglich, Inhalte der Zwischenablage auszulesen und neue Inhalte hineinzuschreiben – unter Umständen ohne eine Benutzerinteraktion zu benötigen, die als qualifizierte Zustimmung gewertet werden kann. Mit etwas krimineller Energie sind Szenarien umsetzbar, in denen eine betrügerische Website etwa Kreditkarten- oder Kontodaten ersetzen könnte, die ein Benutzer über die Zwischenablage in ein Webformular übertragen möchte. Wie eine sichere Lösung aussehen könnte, die bestehende Schnittstellenspezifikationen (API Specs) nicht verletzt, ist noch Gegenstand der Diskussion.



Andere Chromium-basierte Browser

Die Hersteller anderer Chromium-basierter Browser sind nun wieder gefordert, mit entsprechenden Updates nachzuziehen. Microsoft Edge 104.0.1293.70, Brave 1.42.97, Vivaldi 5.4.2753.40 und Opera 90.0.4480.54 basieren auf der bisher aktuellen Chromium-Version 104.0.5112.102 (oder etwas neuer). Bei Vivaldi wird sich zeigen, ob es bei der bisherigen Praxis bleibt, ungerade Chromium-Hauptversionen (wie 105) auszulassen und stattdessen den Extended Stable Channel zu nutzen, um zwischenzeitlich Sicherheitslücken zu schließen. Im Extended Stable Channel hat Google zeitgleich mit Chrome 105 die Version 104.0.5112.111 bereitgestellt, ohne jedoch anzugeben, ob und welche Schwachstellen darin behoben sind.



Chrome 105.0.5195.68 für Android sowie Chrome 105.0.5195.69 für iOS sind ebenfalls bereits freigegeben. Am 27. September will Google Chrome 106 veröffentlichen.



