Google Chrome - Webbrowser

    • Freeware

    • totsch
    • 46286 Aufrufe 79 Antworten

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Google 24.06.2020, 09:30 Uhr
      Sicherheitsforscher haben über 70 bösartige Chrome-Add-ons entdeckt.
      Die kostenlosen Chrome-Erweiterungen gaben vor, die Nutzer vor fragwürdigen Webseiten zu warnen, stahlen jedoch den Browserverlauf und schöpften Daten ab, um den Zugang zu internen Geschäftstools zu ermöglichen.

      Sicherheitsforscher von Awake Security haben diverse bösartige Chrome-Add-ons entdeckt. Google hat laut Reuters mehr als 70 betroffene Erweiterungen aus seinem offiziellen Chrome-Webstore entfernt, nachdem das Unternehmen von den Forschern gewarnt worden war. Die kostenlosen Erweiterungen für Googles Chrome-Browser wurden demnach zuvor 32 Millionen Mal heruntergeladen.

      Die meisten Erweiterungen gaben vor, die Nutzer vor fragwürdigen Websites zu warnen oder Dateien von einem Format in ein anderes zu konvertieren. In Tat und Wahrheit stahlen die Add-ons den Browserverlauf der Nutzer und schöpften Daten ab, welche den Zugang für interne Geschäftstools ermöglichten. Im Blog-Eintrag von Awake heisst es: «Diese Erweiterungen können Screenshots machen, die Zwischenablage lesen, in Cookies oder Parametern gespeicherte Credential-Token ernten, Tastenanschläge von Benutzern (wie Passwörter) abfangen usw.»

      Es ist unklar, wer hinter der Verbreitung der Malware steht, berichtet Reuters weiter. Offenbar haben die Entwickler gefälschte Kontaktinformationen angegeben, als sie die Add-ons bei Google einrichten. Nachdem der Fall durch Reuters bekannt wurde, hat Awake die Forschungsergebnisse – inklusive einer Liste der Domains und Erweiterungen – veröffentlicht (Englisch). Eine (TSV-)Domainliste finden Sie hier, eine der Erweiterungen hier.

      Autor(in)
      Claudia Maag


      Quelle: pctipp.ch/news/sicherheit/sich…ons-entdeckt-2547911.html

    • Sicherheitsupdate: 38 Lücken in Chrome 84 geschlossen

      In der aktuellen Chrome-Versionen haben die Entwickler die Sicherheit an verschiedenen Stellen gesteigert.

      Google hat in Chrome 84.0.4147.89 insgesamt 38 Sicherheitslücken geschlossen. Eine Schwachstelle ist mit dem Bedrohungsgrad "kritisch" eingestuft.

      In einer Warnmeldung von Google kann man die CVE-Nummern der geschlossenen Lücken und die Einstufung des Bedrohungsgrads einsehen. In den meisten Fällen könnten Angreifer Speicherfehler provozieren. Das deutet darauf hin, dass Angreifer Schadcode durch die Schlupflöcher schieben und ausführen könnten. Die aktuelle Version gibt es für Linux, macOS und Windows.

      Mehr Funktionen für die Sicherheit
      Mit Chrome 84 hat Google die schon lange als unsicher geltenden Verschlüsselungsprotokolle TLS 1.0/1.1 endgültig abgeschaltet. Das sollte eigentlich schon mit Chrome 81 geschehen, aufgrund der Corona-Krise haben die Entwickler die Abschaltung verschoben. Der Grund dafür ist, dass US-Regierungswebsites zum Teil noch auf die veralteten Protokolle setzen. Besucht man nun eine Website mit TLS 1.0/1.1 erscheint eine Warnung, dass beispielsweise auf der Seite eingegebene Log-in-Daten unsicher übertragen werden.

      Außerdem warnt Chrome nun bei der Übertragung von Mixed-Content-Inhalten, die der Browser unverschlüsselt via HTTP lädt. Neu ist auch eine Warnung auf betrügerischen Websites, die Besucher über die Benachrichtigungsfunktion des Browsers mit Spam-Nachrichten zu müllen wollen.

      Außerdem soll die aktuelle Chrome-Version das Tracking von Nutzern erschweren.

      Quelle: Sicherheitsupdate: 38 Lücken in Chrome 84 geschlossen | heise online

    • Update für Googles Chrome-Browser schließt acht Sicherheitslücken

      Ein Stable Channel Update für Windows, Linux und macOS beseitigt Sicherheitsprobleme mit "High"-Einstufung. Updates für den Chromium-Edge sollten bald folgen.

      Das Chrome-Team hat mit der aktuellen Stable Channel-Version 84.0.4147.105 insgesamt acht Sicherheitslücken geschlossen, von denen mindestens sechs ein hohes Gefahrenpotenzial bergen.

      Wie üblich nennen die Entwickler in den Release Notes zum Chrome-Update kaum Details zu den Lücken – die folgen erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden.

      Das Update für Chrome wird laut Google in den kommenden Tagen und Wochen wie gewohnt automatisch verteilt. Alternativ kann man die Update-Suche auch manuell anstoßen:
      Noch keine Security-Fixes für Edge
      Microsofts neuer Edge-Browser mit Chromium-Unterbau hat in den vergangenen Monaten meist (leicht zeitversetzt) dieselben Sicherheits-Fixes erhalten wie Chrome. Ein Blick auf die Release Notes-Übersicht für Microsofts Edge zeigt allerdings, dass das jüngste Edge-Release noch keine entsprechenden Patches mitbringt.

      Chromium Edge-Nutzer sollten diesbezüglich Microsofts Security-Advisory ADV200002 im Auge behalten, das immer dann aktualisiert wird, wenn Chromium-Fixes in die Browserentwicklung einfließen.

      Quelle: Update für Googles Chrome-Browser schließt acht Sicherheitslücken | heise online

    • Google Chrome: Mehrere Sicherheitslücken entdeckt - Nutzer sollten sofort updaten

      Google-Chrome-Nutzer, aufgepasst: In den jüngsten 84-Versionen des Browsers wurden erneut mehrere Sicherheitslücken entdeckt. Google stellt bereits ein entsprechendes Update bereit. Wie Sie Google Chrome mit wenigen Klicks aktualisieren können, erklären wir Ihnen hier im Text und im Video.

      Sicherheitslücken in Google Chrome entdeckt
      User des Internetbrowsers Google Chrome sollten sofort auf die neueste Version des Browsers updaten. Gefährdet sind laut Google Blog und dem Bundesamt für Sicherheit in der Informationstechnik die Chrome-Versionen auf Windows- sowie auch auf Linux- und MacOS-Betriebssystemen. In den kommenden Tagen sollen die Updates für die entsprechenden Systeme nach und nach ausgerollt werden.

      Die Version 84.0.4147.125 ist die erste ohne bekanntes Sicherheitsleck. Google rät daher, ältere Versionen schnellstmöglich zu aktualisieren. Die Aktualisierung starten Sie wie folgt:
      1. Klicken Sie oben rechts im Chrome-Browser auf den Menü-Button. Dieser besteht aus drei untereinander angeordneten Punkten
      2. Navigieren Sie im Menü nun weiter unten zum Punkt "Hilfe" und wählen dort "Über Google Chrome aus"
      3. Ist ein Update verfügbar, sollte es nun automatisch heruntergeladen und installiert werden. Beim nächsten Start von Google Chrome wird die aktuelle Version geladen
      Quelle: Google Chrome: Mehrere Sicherheitslücken entdeckt - Nutzer sollten sofort updaten - CHIP

    • Chrome-Nutzer sollten sofort updaten: Google kämpft mit Sicherheitslücken

      Google-Chrome-Nutzer, aufgepasst: In den jüngsten 84-Versionen des Browsers wurden erneut mehrere Sicherheitslücken entdeckt. Google stellt bereits ein entsprechendes Update bereit. Wie Sie Google Chrome mit wenigen Klicks aktualisieren können, erklären wir Ihnen hier im Text und im Video.

      Sicherheitslücken in Google Chrome entdeckt
      User des Internetbrowsers Google Chrome sollten sofort auf die neueste Version des Browsers updaten. Gefährdet sind laut Google Blog und dem Bundesamt für Sicherheit in der Informationstechnik die Chrome-Versionen auf Windows- sowie auch auf Linux- und MacOS-Betriebssystemen. In den kommenden Tagen sollen die Updates für die entsprechenden Systeme nach und nach ausgerollt werden.

      Die Version 84.0.4147.135 ist die erste ohne bekanntes Sicherheitsleck. Google rät daher, ältere Versionen schnellstmöglich zu aktualisieren. Die Aktualisierung starten Sie wie folgt:
      1. Klicken Sie oben rechts im Chrome-Browser auf den Menü-Button. Dieser besteht aus drei untereinander angeordneten Punkten
      2. Navigieren Sie im Menü nun weiter unten zum Punkt "Hilfe" und wählen dort "Über Google Chrome aus"
      3. Ist ein Update verfügbar, sollte es nun automatisch heruntergeladen und installiert werden. Beim nächsten Start von Google Chrome wird die aktuelle Version geladen
      Quelle: Chrome-Nutzer sollten sofort updaten: Google kämpft mit Sicherheitslücken - CHIP

    • Chrome 85: Verbesserungen bei Tab-Management, PDF-Formularen, Performance

      Unter anderem lassen sich in Googles Browser jetzt Tab-Gruppen zusammen- und auseinanderklappen, um Ordnung zu schaffen.

      Google hat Release 85 seines Browsers für Windows, macOS, Linux, Android und iOS herausgebracht. Der Browser unterstützt schon seit längerem Tab-Gruppen. Mit dem neuen Release lassen sich diese auch zusammen- und auseinanderklappen, um Ordnung in die Tab-Leiste zu bekommen. Im Tablet-Modus zeigt Chrome jetzt kleine Vorschauen der Tab-Inhalte, die sich besser mit dem Finger bedienen lassen.

      Ebenso nützlich für Anwender mit vielen Tabs: Gibt der Anwender in die Adresszeile den Titel einer Seite ein, die er bereits geöffnet hat, so schlägt ihm Chrome vor, dorthin zu wechseln. PDF-Formulare kann Chrome jetzt mit den Nutzereingaben speichern. Wer die Datei öffnet, muss nicht von vorne anfangen. Diese Funktion soll in den nächsten Wochen für alle Nutzer bereitgestellt werden.

      Mehr Performance, weniger Lücken
      Eine Optimierungstechnik namens Profile Guided Optimization soll ein paar Prozent mehr Performance in den Windows- und macOS-Versionen von Chrome herausholen. Dabei hat Google echte Nutzungsszenarien des Browsers analysiert, um die wichtigsten Aufgaben zu identifizieren und bei der Kompilierung von Chrome besonders zu berücksichtigen. Auf diese Weise habe man deutlich schnellere Ladezeiten erreicht, berichten die Entwickler im Chromium Blog.

      Mit dem Update hat Google auch diverse Sicherheitslücken in Chome geschlossen. Chrome für Android wird offenbar nach und nach für alle Nutzer bereitgestellt.

      Quelle: Chrome 85: Verbesserungen bei Tab-Management, PDF-Formularen, Performance | heise online

      Update 26.08.2020:

      20 Sicherheitslücken in Chrome 85 geschlossen

      Google hat die aktuelle Version des Webbrowsers Chrome unter anderem gegen Schadcode-Attacken gewappnet.

      Wer mit Chrome im Internet surft, sollte den Browser aktualisieren. Andernfalls könnten Angreifer Computer attackieren und im schlimmsten Fall Schadcode ausführen.

      Wie aus einem Beitrag hervorgeht, hat Google insgesamt 20 Sicherheitslücken geschlossen. Die abgesicherte Version 85.0.4183.83 ist ab sofort für Linux, macOS und Windows verfügbar. Beispielsweise unter Windows aktualisiert sich der Browser automatisch. Um die installierte Version zu prüfen, klickt man im Menü auf "Über Chrome". Das stößt auch ein Update an, falls die Aktualisierung noch nicht stattgefunden hat.

      Zwei Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft. Die knappe Beschreibung einer Lücke legt nahe, dass Angreifer mit etwas Aufwand einen Speicherfehler auslösen können. Das führt in der Regel dazu, dass eine Anwendung abstürzt oder sogar Schadcode auf Computer gelangen kann.

      Neben der Absicherung des Webbrowsers hat Google in Chrome 85 unter anderem noch an der Performanceschraube gedreht und das Tab-Management optimiert.

      Quelle: 20 Sicherheitslücken in Chrome 85 geschlossen | heise online

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von mad.de () aus folgendem Grund: Update 26.08.2020

    • Sicherheitsupdate: Fünf Sicherheitslücken in Chrome geschlossen

      Google hat die abgesicherte Version 85.0.4183.102 des Webbrowsers Chrome veröffentlicht.

      Wer mit Googles Chrome im Internet surft, sollte den Browser auf den aktuellen Stand bringen. In der aktuellen Ausgaben haben die Entwickler insgesamt fünf Schwachstellen geschlossen. Das von den Lücken ausgehende Risiko ist als "hoch" eingestuft.

      Chrome 85.0.4183.102 ist für Linux, macOS und Windows erschienen. Beispielsweise unter Windows aktualisiert sich der Webbrowser automatisch. Unter dem Punkt "Über Chrome" kann man prüfen, welche Version installiert ist. Mit dem Aufruf beginnt auch ein automatisches Update.

      Um Angreifern nicht zu viele Infos über die Lücken zu verraten, nennt Google in der Sicherheitswarnung kaum Details. Einige Beschreibungen lesen sich so, als könnten Angreifer Speicherfehler (Use after free) auslösen und auf diesem Weg eigenen Code auf Computer schieben und ausführen.

      Quelle: Sicherheitsupdate: Fünf Sicherheitslücken in Chrome geschlossen | heise online

    • Neue Sicherheitslücken in Google Chrome entdeckt: Nutzer sollten sofort updaten

      Google-Chrome-Nutzer, aufgepasst: In den jüngsten 85-Versionen des Browsers wurden mehrere Sicherheitslücken entdeckt. Google stellt bereits ein entsprechendes Update bereit. Wie Sie Google Chrome mit wenigen Klicks aktualisieren können, erklären wir Ihnen hier im Text und im Video.

      Sicherheitslücken in Google Chrome entdeckt
      Nutzer des Internetbrowsers Google Chrome sollten sofort auf die neueste Version des Browsers updaten. Gefährdet sind laut Google Blog die Chrome-Versionen auf Windows- sowie auch auf Linux- und MacOS-Betriebssystemen. In den kommenden Tagen sollen die Updates für die entsprechenden Systeme nach und nach ausgerollt werden.

      Die Version 85.0.4183.121 ist die erste ohne bekanntes Sicherheitsleck. Google rät daher, ältere Versionen schnellstmöglich zu aktualisieren. Die Aktualisierung starten Sie wie folgt:
      1. Klicken Sie oben rechts im Chrome-Browser auf den Menü-Button. Dieser besteht aus drei untereinander angeordneten Punkten
      2. Navigieren Sie im Menü nun weiter unten zum Punkt "Hilfe" und wählen dort "Über Google Chrome aus"
      3. Ist ein Update verfügbar, sollte es nun automatisch heruntergeladen und installiert werden. Beim nächsten Start von Google Chrome wird die aktuelle Version geladen
      Quelle: Neue Sicherheitslücken in Google Chrome entdeckt: Nutzer sollten sofort updaten - CHIP

    • 35 Sicherheitslücken in Chrome geschlossen

      Chrome ist in der abgesicherten Version 86.0.4240.75 für Linux, macOS und Windows erschienen.

      Googles Entwickler haben sich in der aktuellen Chrome-Version um 35 Sicherheitslücken gekümmert und den Webbrowser sicherer gemacht. Eine Lücke ist mit dem Bedrohungsgrad "kritisch" eingestuft. Wer mit Chrome im Internet surft, sollte den Browser zeitnah auf die aktuelle Ausgabe 86.0.4240.75 aktualisieren.

      Wie aus einer Warnmeldung hervorgeht, hält Google Details zu den Schwachstellen aus Sicherheitsgründen zurück. So kriegen potenzielle Angreifer keine Infos in die Hände und Nutzer können zwischenzeitlich die abgesicherte Version installieren.

      Gefährliche Lücken
      Setzen Angreifer erfolgreich an der kritischen Lücke (CVE-2020-15967) an, könnten sie einen Speicherfehler auslösen. Klappt das, stürzt der Browser mit hoher Wahrscheinlichkeit ab. In einem solchen Zustand kann aber oft auch Schadcode auf Computer gelangen. Aufgrund der Einstufung funktionieren Attacken mit hoher Wahrscheinlichkeit über das Internet und ohne Authentifizierung.

      Sieben Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft. Auch hier kann es nach erfolgreichen Attacken zu Speicherfehlern kommen. Außerdem könnten Angreifer Überprüfungen umgehen oder Informationen leaken.

      Die Entwickler haben aber nicht nur Lücken geschlossen, sondern auch an anderen Stellen die Sicherheit gesteigert. So ist jetzt beispielsweise der Passwortcheck aktiv; auch andere Verbesserungen sind in das neue Release eingeflossen.

      Siehe dazu auch:
      Google Chrome bei heise Download (Link entfernt)

      Quelle: 35 Sicherheitslücken in Chrome geschlossen | heise online

    • Bug: Chrome löscht bei Aufforderung "Site Data" – außer von Googleseiten

      Fordert man Google auf, alle Seitendaten von Chrome bei Ende der Sitzung zu löschen, soll das nur teilweise passieren. Google und YouTube seien die Ausnahmen.

      Chrome hat offenbar einen Bug: Trotz der Aufforderung, bei Beenden der Sitzung alle Cookies und Site Data zu löschen, kommt der Browser laut einem Bericht von The Register dem bei Daten von den Seiten Google.com und YouTube.com nicht nach. Eine Sprecherin von Google soll gesagt haben, man sei bereits an einem Bugfix dran, der in den kommenden Tagen erscheint.

      Der Bericht von The Register stützt sich auf eine Dokumentation des Entwicklers Jeff Johnson. Er habe sich Chrome am Desktop angeschaut und dabei festgestellt, dass die Einstellung, automatisch beim Schließen alle Cookies und Websitedaten zu löschen, nur bedingt funktioniere. Cookies würden gelöscht, Seiteninformationen blieben bestehen. Sie könnten lokal von den Seiten gespeichert werden und zu einer späteren Identifikation des Nutzers dienen. Im Grunde wäre Google dadurch das Tracking möglich – nur Google. Als Workaround könne man die beiden betroffenen Seiten manuell in eine Liste von Seiten eintragen, die niemals Cookies setzen dürfen. Das geht über die Einstellungen des Browsers.

      Eine Google Sprecherin hat dem Magazin gesagt, es handele sich um einen Fehler, der behoben wird. Man untersuche das Problem und plane, in den kommenden Tagen einen Fix herauszubringen.

      Wiederholung trotz gelobter Besserung
      Es ist jedoch nicht das erste Mal, dass Google Daten sammelt, obwohl die Nutzer denken, dies unterbunden zu haben. So kam etwa heraus, dass der Aufenthaltsort von Mobilgeräten teilweise an Google geleitet wurde, obwohl der Standortverlauf deaktiviert war. Dieser galt quasi nur für einen selbst. Um tatsächlich die Weitergabe der Daten zu verhindern, muss man die "Web- und App-Aktivitäten" abschalten. Es gab eine Rüge der Bundesregierung.

      Google gelobt unterdessen immer wieder Besserung. Erst im Sommer sind neue Datenschutz- und Sicherheitsfunktionen vorgestellt worden, zu denen auch eine intuitivere Bedienung und leichteres Finden entsprechender Einstellungen gehören.

      Die EU-Kommission prüft grundsätzlich Googles Umgang mit Nutzerdaten. Zuvor gab es bereits Strafen von der Kommission wegen der Benachteiligung anderer Anbieter bei der Suchmaschinen-Werbung sowie wegen Ausnutzung der marktbeherrschenden Stellung mittels Android-Geräte.

      Quelle: Bug: Chrome löscht bei Aufforderung "Site Data" – außer von Googleseiten | heise online

    • Update für den Chrome-Browser schließt aktiv ausgenutzte Lücke

      Chrome 86.0.4240.111 für Windows, macOS & Linux schließt unter anderem eine "High"-Lücke, die von der FreeType-Bibliothek (vor v2.10.4) eingeschleust wurde.

      Die Chrome-Entwickler haben die stabile Version des Webbrowsers für Windows, macOS und Linux auf Version 86.0.4240.111 angehoben. Die neue Version schließt fünf Sicherheitslücken – vier von ihnen stellen nach Einschätzung der Entwickler ein hohes Sicherheitsrisiko für Nutzer dar. Von diesen Lücken wiederum wird eine laut Googles Project Zero bereits aktiv von Angreifern ausgenutzt. Nutzer sollten deshalb Ausschau nach dem Update halten, das in den kommenden Tagen und Wochen verteilt werden soll.

      Sicherheitslücke in FreeType geschlossen
      Wie gewohnt haben die Entwickler jene Security-Fixes in einem aktuellen Blogeintrag zum Chrome Stable Channel Update dokumentiert, die von externen Sicherheitsforschern entdeckt und gemeldet wurden. Mit Details zu den Lücken CVE-2020-16000 in der Blink Browser-Engine, CVE-2020-16001 ("Use after free in media"), CVE-2020-16002 in PDFium, CVE-2020-15999 in FreeType sowie zur einzigen "Medium"-Lücke CVE-2020-16003 ("Use after free in printing") hält sich der Blogeintrag wie üblich zurück: Zugriff auf Bug-Details gibt es erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden.

      Via CVE-2020-15999 in der Programmbibliothek FreeType finden solche Angriffe allerdings wohl schon statt. Via Twitter teilte Project Zero-Mitarbeiter Ben Hawkes mit, dass die Chrome-Entwickler schnell auf die Warnung des Teams reagiert hätten. Der Fix sei auch schon in FreeType eingeflossen: Die neue, abgesicherte Version 2.10.4 ist seit Kurzem verfügbar und sollte von Entwicklern im Rahmen ihrer Projekte verwendet oder aktualisiert werden.

      Details zur Angriffsstrategie oder Hinweise, wie sich Nutzer verwundbarer Browser-Versionen schützen können, nannte Hawkes nicht.
      • Bug-Details im Bugtracker des FreeType-Projekts
      Edge-Update steht noch aus
      Sicherheitsupdates für den Chromium-basierten Edge folgen häufig unmittelbar auf die Chrome-Updates. Derzeit hat Microsoft aber noch nichts veröffentlicht. Edge-Nutzer sollten die Release Notes für Edge Security Updates sowie Microsofts Security Advisory zu den Chromium Security Updates im Auge behalten.

      Quelle: Update für den Chrome-Browser schließt aktiv ausgenutzte Lücke | heise online

    • Neue 0-Day-Lücken in Chrome gestopft

      Google hat ein weiteres Sicherheits-Update für Chrome 86 bereitgestellt. Es beseitigt zehn Schwachstellen, darunter eine Lücke, die bereits ausgenutzt wird. Auch Chrome für Android ist anfällig.

      Mit dem Update auf die neue Chrome -Version 86.0.4240.183 für Windows, macOS und Linux vom 2. November haben Googles Entwickler zehn Sicherheitslücken geschlossen. Darunter ist eine Schwachstelle, die bereits aktiv ausgenutzt wird. Bereits mit dem vorherigen Chrome-Update musste Google eine 0-Day-Lücke im Browser stopfen.

      Im Chrome Release Blog führt Prudhvikumar Bommana die sieben Schwachstellen auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Sämtliche dieser Lücken hat Google als hohes Risiko eingestuft, auch die 0-Day-Lücke CVE-2020-16009. Für zwei der Schwachstellen hat Google den Entdeckern je 15.000 US-Dollar Prämie zuerkannt, für eine weitere Lücke gibt es 5000 Dollar.

      Über CVE-2020-16009 ist noch nicht viel bekannt. Die Sicherheitslücke steckt in Chromes Javascript-Engine V8 und ist als „inappropriate implementation“ (unangemessene Umsetzung) beschrieben. Die beiden Entdecker, Clement Lecigne und Samuel Groß, arbeiten für unterschiedliche Google-Teams, gelten jedoch als Externe, die keine Prämien bekommen. Prudhvikumar Bommana schreibt im Chrome Release Blog, Google habe Kenntnis davon, dass ein Exploit für diese Lücke in freier Wildbahn existiere.

      Chrome für Android
      Wie Ben Hawkes (Google Project Zero) via Twitter meldet, hat Google in Chrome für Android ebenfalls eine 0-Day-Lücke geschlossen. Deren CVE-Nummer (CVE-2020-16010) folgt unmittelbar auf die der oben genannten Schwachstelle in Chrome für Desktop. Laut Hawkes ermöglicht die Lücke eingeschleustem Code den Ausbruch aus der Chrome-Sandbox. Wie Krishna Govind im Chrome Release Blog schreibt, handelt es sich um einen Pufferüberlauf in der Benutzerschnittstelle (UI: user interface). In Chrome für Android 86.0.4240.185 ist die Lücke beseitigt, ebenso diejenigen Schwachstellen, die auch Chrome für Desktop betreffen.

      Mit CVE-2020-16011 haben die Entwickler in Chrome für Windows eine ganz ähnliche Sicherheitslücke geschlossen. Im Gegensatz zu Chrome für Android sind jedoch bislang keine Angriffe bekannt, bei denen diese Schwachstelle ausgenutzt würde. Sergej Glasunow war an der Entdeckung beider Lücken in der letzten Woche beteiligt. Glasunow suchte vor einigen Jahren noch auf eigene Rechnung mit großem Erfolg nach Chrome-Lücken. Inzwischen arbeitet er für Google Project Zero und hat daher keinen Anspruch auf Prämien mehr.

      Die Hersteller anderer Chromium-basierter Browser (Brave, Edge, Opera, Vivaldi) werden hoffentlich in den nächsten Tagen ebenfalls Updates bereitstellen, um die Schwachstellen zu beseitigen. Das am 2. November bereitgestellte Update auf Edge 86.0.622.61 bringt noch keine Sicherheit.
      Chrome 87 für Desktop soll am 17. November erscheinen.

      Quelle: Neue 0-Day-Lücken in Chrome gestopft - PC-WELT

    • Neue Sicherheitslücken in Google Chrome entdeckt: Nutzer sollten sofort updaten

      Google-Chrome-Nutzer, aufgepasst: In Version 86 des Browsers wurden mehrere Sicherheitslücken entdeckt. Google stellt bereits ein entsprechendes Update bereit. Wie Sie Google Chrome mit wenigen Klicks aktualisieren können, erklären wir Ihnen hier im Text und im Video.

      Sicherheitslücken in Google Chrome entdeckt
      Nutzer des Internetbrowsers Google Chrome sollten sofort auf die neueste Version des Browsers updaten. Gefährdet sind laut Google Blog die Chrome-Versionen auf Windows- sowie auch auf Linux- und MacOS-Betriebssystemen. In den kommenden Tagen sollen die Updates für die entsprechenden Systeme nach und nach ausgerollt werden.

      Die Version 86.0.4240.193 ist die erste ohne bekanntes Sicherheitsleck. Google rät daher, ältere Versionen schnellstmöglich zu aktualisieren. Die Aktualisierung starten Sie wie folgt:
      1. Klicken Sie oben rechts im Chrome-Browser auf den Menü-Button. Dieser besteht aus drei untereinander angeordneten Punkten
      2. Navigieren Sie im Menü nun weiter unten zum Punkt "Hilfe" und wählen dort "Über Google Chrome aus"
      3. Ist ein Update verfügbar, sollte es nun automatisch heruntergeladen und installiert werden. Beim nächsten Start von Google Chrome wird die aktuelle Version geladen
      Quelle: Neue Sicherheitslücken in Google Chrome entdeckt: Nutzer sollten sofort updaten - CHIP

    • Erneutes Nachbessern bei Chrome: Google schließt zwei aktiv ausgenutzte Lücken

      Nur zwei Tage nach dem letzten Update steht wieder eine neue Browser-Version bereit: Für zwei Sicherheitslücken mit "High"-Einstufung gibt es Exploit-Code.

      Auf das Chrome-Sicherheitsupdate vom 9. November hat Google am gestrigen Mittwoch gleich ein weiteres folgen lassen. Es beseitigt zwei Sicherheitslücken aus den Browser-Ausgaben für Windows, Linux und macOS, die bereits aktiv ausgenutzt werden. Anwender sollten sicherstellen, dass auf ihrem System zeitnah die abgesicherte Version 86.0.4240.198 eingespielt wird. Das Chrome-Team will sie in den kommenden Tagen und Wochen verfügbar machen.

      Übrigens steht auch für den Chromium-basierten Edge ein Update bereit, das vorerst allerdings nur die zum 9. November aus Chrome beseitigte Lücke schließt. Wir widmen dem Edge-Update im Laufe des Vormittags eine separate Meldung.

      Exploits in freier Wildbahn
      Wie gewohnt enthält die von Google veröffentlichte Release-Ankündigung zur neuen Chrome-Version nur wenige Informationen über die Lücken. Öffentlichen Zugriff auf die Bugtracker-Einträge gibt es erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden.

      Beide Sicherheitslücken (CVE-2020-16013 / " Inappropriate implementation in V8", CVE-2020-16017 / "Use after free in site isolation") wurden gemäß CVSS mit "High" bewertet. Laut Google existieren Exploits in freier Wildbahn; Details zur Vorgehensweise oder zum Umfang aktiver Angriffe nennt das Unternehmen aber nicht.

      Chrome derzeit häufig im Fokus von Angreifern
      Die Frequenz, mit der Google gegen aktiv ausgenutzte (vormalige) "Zero-Days" nachbessern muss, ist derzeit auffallend hoch.

      So berichteten wir erst Anfang vergangener Woche über versuchte Sandbox-Ausbrüche und Schadcode-Infektionen mittels zweier Sicherheitslücken. Zuvor wurde Ende Oktober eine "High"-Lücke in der FreeType-Bibliothek attackiert. Anwender sollten somit besonders aufmerksam nach neuen Versionen Ausschau halten und diese jeweils zeitnah installieren.

      Quelle: Erneutes Nachbessern bei Chrome: Google schließt zwei aktiv ausgenutzte Lücken | heise online

    • Chrome 87 zum Download: Letztes Update des Jahres mit Speed-Kick

      Das letzte große Chrome-Update des Jahres kommt nicht mit einem Feuerwerk, trotzdem gibt es einige Neuheiten. So hat Google einen neuen PDF-Viewer an Bord, der aber nicht gleich für alle zu sehen ist. Dazu gibt es viel Feinschliff, gezügelten Ressourcen-Verbrauch und mehr Sicherheit. Google selbst preist vor allem massive Performance-Gewinne an.

      Chrome ist die klare Nummer 1 bei Browsern, das zeigen die aktuellen Zahlen bei den Marktanteilen, auch wenn es kleinere Schwankungen gibt. Genauso wie die Konkurrenz arbeitet Google aber trotzdem weiter fleißig an neuen Versionen des Browsers und damit auch an neuen Features.

      Das letzte große Release dieses Jahres ist Chrome 87 und Google schraubt dabei wieder an verschiedenen Stellen. Schon allein aus Sicherheitsgesichtspunkten sollten Sie mit dem Update nicht allzu lange warten, immerhin werden wieder jede Menge Sicherheitslücken gefixt.

      Chrome 87 ist die letzte offizielle Browser-Version von Google, die auch noch Flash unterstützt. Auf das drohende Support-Ende von Flash weist Chrome schon länger hin und bietet auch gleich einen Schalter an, um Flash zu deaktivieren.

      Google selbst hat dem letzten Chrome-Release des Jahres sogar einen eigenen Blog-Beitrag spendiert, in dem satte Performance-Gewinne angepriesen werden. Dass es sich dabei um interne Benchmarks handelt, sollte man wissen, die Rede ist von schnelleren Starts (25% schneller), verbesserten Seitenladezeiten (7%) sowie optimierter Vor- und Zurück-Navigation. Was davon in der Praxis wirklich stehen bleibt, muss man über die nächsten Wochen sehen.

      Neue PDF-Ansicht in Chrome 87
      Leider macht Google auch unter Chrome 87 weiter mit seiner Salami-Taktik, Neuheiten Stückchen für Stückchen auszurollen. Ganz cool ist der neue PDF-Viewer. Der kann mehr als sein Vorgänger, zeigt bei umfangreicheren PDF-Dokumenten zum Beispiel eine Minivorschau der Seiten am linken Fensterrand an und erlaubt neben der einseitigen jetzt auch die doppelseitige Anzeige.

      Das sind alles nette Sachen, die zu einem grundlegenden PDF-Viewer gehören und Chrome beherrscht sie jetzt. Leider kriegt nicht jeder die neue Ansicht gleich freigeschaltet. Aber Sie können die PDF-Anzeige über die Flags aktivieren. In Chrome rufen Sie dazu zunächst über die Adresszeile chrome://flags die versteckten Schalter auf und suchen nach pdf-viewer-update. Stellen Sie das Feature auf "Enabled" und starten Sie Chrome neu. Von jetzt an sehen Sie den neuen PDF-Viewer. Sollte Sie noch über Bugs stolpern, deaktivieren Sie die Funktion einfach wieder.

      Weitere Chrome 87 Neuheiten
      Ein Dauerbrenner ist bei Chrome weiterhin das Thema Ressourcen-Verbrauch. Im letzten Browser-Test zeigte sich, dass Chrome zwar schnell arbeitet, aber eben auch verhältnismäßig viel CPU-Zeit und RAM in Beschlag nimmt. Ein Mittel dagegen ist unter anderem die Reduktion des Verbrauchs bei Hintergrund-Tabs.
      Chrome 87 erlaubt Hintergrund-Tabs das Aufwachen nur einmal pro Minute und in diesen Fällen dürfen sie höchstens 1 Prozent CPU-Leistung in Anspruch nehmen. Laut Google soll der neue Chrome fünf Mal weniger CPU-Ressourcen verbrauchen, was bei akkubetriebenen Geräten zu einer längeren Laufzeit von über einer Stunde führen soll. Auch hier gibt Google wieder "interne Messungen" an.
      Weitere Neuheiten in Chrome 87:
      • Gezügelte DNS-Abfragen: Wenn Sie Begriffe in die URL-Zeile eintippen, passieren mehrere Dinge gleichzeitig. Unter anderem versucht Chrome eine DNS-Auflösung zu machen, damit Sie möglichst schnell auf den gewünschten Webseiten landen. Dabei gibt es jetzt eine Ausnahme. Wird nur ein Wort eingetippt, etwa "helpdesk", unterbleibt die Namensauflösung aus Datenschutzgründen.
      • PDF- und DOCX-Warnungen: Chrome hat schon seit einigen Versionen Warnungen und Blocker für unsichere Downloads am Start. Mit Chrome 86 blockierte der Browser neben EXE- auch ZIP- und ISO-Dateien, mit Chrome 87 kommen PDF- und DOCX-Formate hinzu, wenn diese nicht per HTTPS ausgeliefert werden.
      • Protokoll entfernt: Chrome 87 entfernt das für WebRTC verwendete Protokoll DTLS 1.0 aus Sicherheitsgründen.
      • FTP-Einschränkungen: Die FTP-Nutzung in Chrome geht gegen Null. Dementsprechend hält Google es für überflüssig, das uralte und nicht verschlüsselte Protokoll noch zu unterstützen. Mit Chrome 87 wird FTP-Support für die Hälfte der Nutzer abgeschaltet. Wer FTP noch nutzen will, kann es aber über Flags aktivieren.
      • Tab-Suche: Leider ist die Tab-Suche wieder so ein Feature, das erst über die kommenden Wochen kommt, denn praktisch ist sie allemal. Ein kleiner Pfeil über der Adressleiste offenbart ein Suchfeld, in den Sie einfach einen Begriff eintippen. Chrome macht dann einen Suchlauf quer über alle geöffneten Tabs.
      • Chrome Actions: Auch diese Funktion ist heute bei den meisten Usern noch nicht angekommen, soll aber in den nächsten Wochen starten. Sie tippen dabei einfach Befehle in die URL-Zeile ein, die intern auf Chrome-Funktionen verweisen. So knnen Sie etwa schnell den Verlauf löschen oder Passwörter editieren. Eine Übersicht über die ersten Kommandos gibt es auf dieser Seite.
      Google verteilt http/3 für Chrome
      Wie Google in einem Blog-Beitrag mitteilt, hat man mit der Verteilung von http/3 für Chrome begonnen. Das Hypertext Transfer Protocol ist wohl jedem Internet-Nutzer schon mal über den Weg gelaufen, auch wenn es kein Mensch mehr explizit in die Adresszeile des Browsers eintippt. http/3 ist die neueste Ausgabe des Übertragungsprotokolls, die wiederum auf das Protokoll QUIC (Quick UDP Internet Connections) aufsetzt. Das Konzept: HTTP wird schneller, wenn es nicht auf TCP (Transmission Control Protocol), sondern auf UDP (User Datagram Protocol) setzt.

      Unter dem Strich kriegt man schnelleren Verbindungsaufbau und auch eine schnellere Arbeitsweise, weil mehrere Datenströme parallel in eine UDP-Verbindung gepackt werden. Google macht nun Nägel mit Köpfen und schaltet http/3 in Chrome frei. 25 Prozent der Nutzer sollen es jetzt schon nutzen können, Google will die neue Technik aber über die nächsten Wochen für eine breitete Nutzerbasis aktivieren. Nach Google-Angaben sinkt die Latenz bei der Google-Suche durch die Umstellung um 2 Prozent, das YouTube-Rebuffering wird 9 Prozent schneller und der Durchsatz auf Desktop und Clients erhöht sich um 3 bzw. 7 Prozent.

      Damit man von http/3 profitieren kann, müssen Webserver diesen Standard unterstützen. Das ist bei der Mehrheit an Webseiten bisher nicht der Fall. Nutzer können über diese Testseite ausprobieren, ob http/3 bei Ihnen schon aktiviert ist oder nicht.

      Chrome Vorteile
      Der großen Vorteile von Chrome sind Geschwindigkeit und die starke Unterstützung von Webstandards. Mit keinem anderen Browser sind Sie so schnell unterwegs und auch bei der Kompatibilität mit Webseiten und Diensten hat Chrome die Nase vorn. Das liegt einerseits an der guten Arbeit der Entwickler, andererseits ist Chrome auch mit großem Abstand der meist genutzte Browser, sodass auch alle Angebote auf Chrome ausführlich getestet werden.

      Chrome Nachteile
      Doch Chrome ist nicht perfekt, auch den letzten Browser-Test konnte er nicht gewinnen. Chrome ist als Google-Produkt natürlich eng mit dem Suchmaschinenriesen und seinen anderen Diensten verbandelt. Der Sync mit anderen Chrome-Inhalten läuft über ein Google-Konto und das dürfte Nutzern nicht gefallen, die auf Datenschutz bedacht sind. Auch einen Tracking-Schutz gibt es in Chrome noch nicht und im Betrieb rafft der Browser auch noch viele Ressourcen.

      Quelle: Chrome 87 bringt Speed-Kick - CHIP

    • Google fordert Offenlegung von Datennutzung bei Chrome-Erweiterungen

      Alle Erweiterungen von Chrome müssen ab kommenden Jahr offenlegen, welche Daten sie sammeln. Der Verkauf von Daten ist grundsätzlich verboten.

      Ab kommendem Jahr müssen alle Erweiterungen für Chrome auf der Seite des Chrome Web Stores angeben, welche Daten sie sammeln und wie diese verarbeitet werden. Anbieter, die dem nicht nachkommen, müssen damit rechnen, dass ihre Erweiterungen entfernt und auch auf Endgeräten blockiert werden.

      Unter dem Namen "Project Strobe" hat Google bereits vergangenes Jahr angefangen, die Richtlinien für Erweiterungen zu verschärfen, um Nutzerdaten besser zu schützen. Dazu gehörte etwa, dass nur noch die Erlaubnis eingeholt werden darf, wenn diese für eine Erweiterung nötig ist. Nun folgt eine neue Richtlinie für Entwickler, die besagt, was diese mit den erhobenen Daten machen dürfen – beziehungsweise eher nicht machen dürfen. Und dass sie Information dazu veröffentlichen müssen. Anwender sollen verstehen, wie es um die Privatsphäre steht, heißt es im Chromium-Blog.

      Google verbietet Verkauf von Daten
      Im Chrome Web Store müssen Entwickler die Informationen zur Datennutzung bereitstellen. Sie können ab sofort eingetragen werden, Pflicht ist es ab Januar 2021. Ein erneutes Update der Richtlinien besagt zudem, dass Daten nur noch zum Wohle der Nutzer und entsprechend des Sinns der Erweiterung erhoben werden dürfen. Der Verkauf von Daten ist grundsätzlich verboten. Die Daten für Werbezwecke zu nutzen sowie die Übertragung jeglicher Informationen für Finanzgeschäfte und andere Weiterverkäufer, ist ebenfalls verboten.

      Zur Offenlegung gehört auch, um welche Daten es genau geht – hierfür wird es eine Auswahl an Kategorien geben. Entwickler müssen außerdem bestätigen, dass sie den neuen Richtlinien folge leisten. Wie die Richtigkeit der Angaben kontrolliert wird, bleibt offen.

      Ab dem 18. Januar können Nutzer die Informationen dann im Web Store einsehen. Erweiterungen von Entwicklern, die den Anforderungen bis dahin nicht nachgekommen sind, markiert Google mit dem Hinweis darauf.

      Bereits im Sommer hatte Google eine neue Spam-Richtlinie für Chrome-Erweiterungen geschaffen. Sie richtete sich unter anderem gegen gekaufte Bewertungen, die Erweiterungen besser im Web Store sichtbar machen könnten. Erweiterungen, die nur dazu da sind, weitere zu laden und solche, die unerwünschte Benachrichtigungen verschicken, wurden verboten.

      Quelle: Google fordert Offenlegung von Datennutzung bei Chrome-Erweiterungen | heise online

    • Google verlängert Support für Chrome unter Windows 7

      Die Unterstützung endet nun Mitte Januar 2022. Google verschiebt das Support-Ende somit um sechs Monate. Damit kommt Google Unternehmen entgegen, die den Umstieg auf Windows 10 noch nicht abgeschlossen haben.

      Google hat Ende vergangener Woche angekündigt, seinen Browser Chrome mindestens bis zum 15. Januar 2022 offiziell für Windows 7 anzubieten. Damit verlängert das Unternehmen den Support für das veraltete Microsoft-Betriebssystem um sechs Monate. Eigentlich sollte die Unterstützung für Chrome unter Windows 7 am 15. Juli 2021 enden.

      Die Entscheidung traf Google nach eigenen Angaben unter anderem nach der Auswertung von Rückmeldungen von Kunden. Auch die durch die COVID-19-Pandemie ausgelösten Veränderungen in der IT- und Arbeitswelt spielten demnach eine Rolle. “ Während die letzten Monate für viele Organisationen als Katalysator für Technologieinvestitionen und digitale Transformationsinitiativen gedient haben, sind für andere einige geplante IT-Projekte in den Hintergrund getreten“, schreibt Max Christoff, Engineering Director für Google Chrome, in einem Blogeintrag.

      Auch in diesem Jahr hätten viele Organisationen den Umstieg auf Windows 10 geplant. Aufgrund geänderter oder neuer Prioritäten hätten 21 Prozent der Organisationen diesen Schritt aber noch nicht abgeschlossen. Die Supportverlängerung für Chrome gebe betroffenen Unternehmen die Gewissheit, ihren Mitarbeitern einen sicheren und produktiven Browser anbieten zu können.

      “ IT-Teams können auch die vorhandenen Unternehmensfunktionen und den künftigen Fahrplan von Chrome nutzen, einschließlich unserer fortgesetzten Investitionen in Cloud-Management, Sicherheitsfunktionen für Unternehmen und unserer Pläne, sich über die verschiedenen Betriebssystemversionen hinweg enger in das breitere Ökosystem zu integrieren.“

      Microsoft unterstützt Windows 7 bereits seit Januar 2020 nicht mehr. Unternehmen haben allerdings – gegen Bezahlung – noch Zugriff auf erweiterte Sicherheitsupdates für Windows 7. Das Angebot gilt bis Ende 2022 und ist auf Windows 7 Professional und Enterprise beschränkt.

      Laut aktuellen Zahlen von Net Applications, die sich auf Oktober 2020 beziehen, greifen derzeit noch mehr als 20 Prozent der Nutzer von Windows 7 aus auf das Internet zu. Im Januar 2020 waren es noch 25,6 Prozent. StatCounter ermittelte indes seit Januar einen Rückgang des Marktanteils von Windows 7 von 24,9 Prozent auf 16,8 Prozent. Hinter den Zahlen der Marktforscher stehen jeweils mehrere Hundert Millionen Nutzer, die Chrome helfen, mehr als zwei Drittel des Browsermarkts zu kontrollieren.

      Microsoft bietet seit Juni auch die neue, auf Chromium basierende Version seines Browsers Edge für Windows 7 an. Das Unternehmen rät vor allem Nutzern, die keinen Zugang zu den erweiterten Sicherheitsupdates für Windows 7 haben, trotz der Verfügbarkeit eines aktuellen Browsers zu Windows 10 zu wechseln. “ Obwohl Microsoft Edge dabei hilft, Ihr Gerät im Internet zu schützen, ist Ihr Gerät möglicherweise noch anfällig für Sicherheitsrisiken“, heißt es in einem Support-Artikel.

      Quelle: Google verlängert Support für Chrome unter Windows 7 | ZDNet.de

    • Acht Sicherheitslücken in Google Chrome geschlossen

      Der Webbrowser Chrome ist für Linux, macOS und Windows in einer abgesicherten Version erschienen.

      Angreifer könnten Chrome über verschiedene Wege attackieren. Insgesamt gilt das Sicherheitsrisiko als "hoch".

      In einer Warnmeldung gibt Google an, dass Angreifer in verschiedenen Komponenten des Webbrowsers Speicherfehler auslösen könnten. So etwas führt in der Regel zu Abstürzen. Oft kann auf diesem Weg aber auch Schadcode auf Computer gelangen. Wie das im Detail geht, verschweigen die Entwickler aus Sicherheitsgründen.

      Für Linux, macOS und Windows ist nun die abgesicherte Version 87.0.4280.88 erschienen. Darin hat Google insgesamt acht Schwachstellen geschlossen. Das Update sollte sich automatisch installieren. Unter macOS und Windows prüft man die installierte Chrome-Version, indem man im Menü auf "Hilfe", "Über Google Chrome" klickt. Damit stößt man die Aktualisierung auch manuell an.

      Quelle: Acht Sicherheitslücken in Google Chrome geschlossen | heise online

    • Google Chrome: Sicherheitsupdate für Desktop-Versionen des Browsers verfügbar

      Abgesichert ins neue Jahr: Google hat Chrome für Win, macOS und Linux gegen mehrere Schwachstellen gewappnet. Auch die Android-Fassung wurde aktualisiert.

      Google hat die ersten Sicherheitsupdates für seinen Webbrowser Chrome in 2021 veröffentlicht. Das gestrige "Stable Channel Update" hat die Browser-Ausgaben für Windows, Linux und macOS auf die Version 87.0.4280.141 angehoben. Sie umfasst insgesamt 16 sicherheitsrelevante Fixes

      Die neue Chrome-Version 87.0.4280.141 soll laut Google in den kommenden Tagen und Wochen für alle Nutzer verfügbar gemacht werden. Nutzer können das Update via Auto-Update beziehen oder den Browser manuell über den Menüpunkt "Hilfe"--> "Über Google Chrome" auf den neuesten Stand bringen.

      Microsofts Chromium-basierter Edge, dessen Sicherheitsupdates meist kurz auf die Chrome-Aktualisierungen folgen, ist bislang noch auf dem Stand von Dezember. Allerdings ist damit zu rechnen, dass die Entwickler bald nachziehen. Microsofts Übersicht über Edge-Sicherheitsupdates zeigt die jeweils aktuelle Version.

      Viele Schwachstellen mit "High"-Einstufung"
      Wie gewohnt nennt die Release-Ankündigung für die neuen Chrome Desktop-Versionen nur wenige Details zu den Sicherheitslücken. Die gibt es in der Regel erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden. Bis dahin beschränkt sich Google auf eine kurze Auflistung jener Lücken, die von externen Sicherheitsforschern entdeckt wurden. 12 davon wurden mit der Risikoeinstufung "High" und eine mit "Medium" bewertet.

      Update auch für die Android-Ausgabe
      Auch Chrome für das mobile Betriebssystem Android hat ein Update erhalten: Version 87.0.4280.141 soll in den nächsten Wochen via Google Play verfügbar gemacht werden. Die Aktualisierung umfasst allerdings keine Sicherheitsupdates, sondern nimmt laut der separaten Release-Ankündigung zu Chrome 87.0.4280.141 für Android lediglich Stabilitäts- und Performance-Verbesserungen am mobilen Browser vor.

      Quelle: Google Chrome: Sicherheitsupdate für Desktop-Versionen des Browsers verfügbar | heise online

    • Chrome 88 ist da: Dieses Update hilft allen Tab-Messies

      Chrome startet mit vielen guten Vorsätzen ins neue Jahr. Einige alte Zöpfe schneidet Chrome 88, das erste Release 2021, gleich ab. So trennt sich der Browser von Flash, FTP und Cloud Print. Neu dabei sind unauffälligere Berechtigungen, verkürzte Darstellung von URLs sowie eine Suche in offenen Tabs, die für alle Tab-Messies unabdingbar werden wird.

      Chrome ist die klare Nummer 1 bei Browsern, das zeigen die aktuellen Zahlen bei den Marktanteilen, auch wenn es kleinere Schwankungen gibt. Für 2021 hat Google viel mit seinem Browser vor, es ist also nicht zu erwarten, dass Chrome groß an Marktanteilen verliert. Die neue Version ist Pflicht für alle Chrome-Nutzer, sie fixt satte 36 Sicherheitslücken, davon eine kritische und immerhin neun als "hoch" eingestufte Probleme.

      Das erste große Release dieses Jahres ist Chrome 88 und Google schneidet mit ihm viele alte Zöpfe ab. Nach langen Jahren hat der Adobe Flash Player kürzlich seinen Betrieb eingestellt. Konsequenterweise entfernt ihn jetzt auch Chrome und es gibt auch keine Möglichkeit, der Original-Flash wiederzubeleben. Was man machen kann, um einfache Flash-Animationen in Chrome abzuspielen, ist, auf die Opensource-Alternative Ruffle zu setzen.

      Suche in geöffneten Tabs möglich
      Hand aufs Herz, haben Sie auch manchmal ein paar Tabs zu viel offen? Gefühlt macht das jeder, aber wenn man dann mal etwas sucht, kommt man im Dschungel der offenen Tabs nicht weiter. Praktischerweise hat Chrome 88 eine Suche in geöffneten Tabs parat.

      Leider aktiviert Google die Funktion nicht gleich für alle Nutzer, Salamitaktik wie fast immer. Wer die Tab-Suche hat, sieht oben im Fensterrahmen einen kleinen Pfeil, der per Mausklick ein Drop-Down-Menü öffnet. Dort tippen Sie dann einfach einen Suchbegriff ein und wie man das von Google kennt, werden die geöffneten Tabs live durchsucht.

      Wer es noch schneller will, nimmt den Shortcut [STRG] + [SHIFT] + [A]. Für alle, die die Tab-Suche noch nicht sehen, bleibt nur der Weg in die Chrome-Flags. Die Einstellung "Enable Tab Search" schaltet nach einem Browser-Neustart die Funktion frei.

      Weitere Chrome 88 Neuheiten
      Google informiert, dass Chrome 88 ursprünglich den FTP-Support komplett aus der Code-Basis entfernen wollte. Das ist jetzt auf die nächste Version verschoben, FTP-Funktionen sollen aber in Chrome 88 für mehr Nutzer deaktiviert sein. Bei unseren Tests war es aber ohne spezielle Einstellungen immer noch möglich, Downloads von FTP-Servern zu ziehen. Google hat dazu noch ein Flag hinterlegt, über "Enable support for FTP URLs" können Sie die FTP-Unterstützung steuern.

      Weitere Neuheiten in Chrome 88:
      • Berechtigungen: Den Standort auswerten oder andere Berechtigungen anfordern, das geht in Chrome nur, wenn Nutzer das erlauben. Dementsprechend müssen Webseiten sich dieses Recht erst einräumen lassen, was bisher über kleine Pop-ups gemacht wird. Doch Google hat herausgefunden, dass Nutzer die in der Regel sofort wegklicken. Etwas weniger aufdringlich kommt der neue Permission Chip. Erst zeigt sich in der URL ein blaues Feld, etwa mit der Abfrage der Standortberechtigung. Klickt der Nutzer hier nichts an, wird daraus ein kleiner blauer Ball vor der URL.
      • Pop-ups: Beim Verlassen von Webseiten konnten diese bisher noch schnell Pop-ups öffnen, um den Nutzern eine letzte Botschaft zukommen zu lassen. Chrome 88 verhindert dies.
      • Verkürzte URLs: Trotz Nutzerkritik hält Google an der Verkürzung von URLs fest. Statt der kompletten URL, wird bei immer mehr Nutzern nur noch die Domain angezeigt. Bisher lässt sich das aber per Richtlinie ändern.
      • Cookies: Was Cookies dürfen und nicht, hat Chrome schon 2020 ordentlich zurechtgestutzt. 2021 geht es damit weiter, jetzt werden auch verschlüsselte und nicht verschlüsselte Versionen einer Seite nicht mehr als gleicher Ursprung für die Behandlung von Cookies gezählt. Auch hier gibt es die Möglichkeit, zum vorherigen Verhalten per Richtlinien zurückzuschalten.
      • Verbesserter Dark Mode: Einen Dark Mode gibt es schon länger für Chrome, doch den Großteil der Anzeige nimmt natürlich nicht der Browser ein, sondern die dargestellte Webseite. Hier legt Chrome nach und erlaubt es Entwicklern, über ein CSS-Farbschema passende dunkle Versionen zu hinterlegen. Je nach Einstellung im Betriebssystem zeigt Chrome dann automatisch die dunkle oder helle Seite einer Webseite an.
      • Entfernte Funktionen: Seit Anfang des Jahres wird Cloud Print aus Chrome heraus nicht mehr unterstützt, auch DTLS 1.0 ist mit Chrome 88 Geschichte. Weitere Details für Entwickler hat Google auf einer eigenen Seite parat.
      ...

      Quelle: Chrome 88 fertig: Suche in Tabs gestartet - CHIP

    • Zero-Day im Chrome-Browser: Jetzt Update einspielen

      Eine aktiv ausgenutzte Schwachstelle im Chrome-Browser gefährdet die meisten Betriebssysteme. Google hat ein Update.

      Das jüngste Update für den Chrome-Browser soll gegen eine bereits aktiv von Angreifern ausgenutzte Sicherheitslücke schützen. Die JavaScript-Engine V8 ist für Heap-Überläufe anfällig. Damit können Angreifer beliebigen Code auf dem Endgerät ausführen und haben das laut Google auch schon getan. Daher sollen Anwender für Windows, Linux und MacOS schleunig das Update einspielen.

      Die neue Chrome-Version 88.0.4324.150 vom Donnerstag unterscheidet sich von der am Dienstag veröffentlichten Version 88.0.4324.146 nur durch die eine geschlossene Sicherheitslücke. Diese beträgt die Bezeichnung CVE-2021-21148 und wird von Google als "hoch" eingestuft.

      Mattias Buelens, Belgischer Entwickler eines HTML5-Video-Player, hatte das Problem vorletzten Sonntag gemeldet. Kurz darauf warnte Googles Threat Analysis Group (TAG) vor Angriffen Nordkorea zugeordneter Hacker. Laut der Google-Warnung tarnen sich die staatlichen Spione als Sicherheitsforscher.

      Quelle: Zero-Day im Chrome-Browser: Jetzt Update einspielen | heise online

    • Malware-Verdacht: Wenn Sie dieses Chrome-Addon haben, sollten Sie jetzt reagieren

      Der kostenlose Browser Google Chrome ist bekannt dafür, sich viel RAM zu krallen, um eine bessere Performance zu gewährleisten. Ein bekanntes Add-on für den Browser limitierte diesen Verbrauch, indem es ungenutzte Tabs automatisch schloss. Doch Google hat das Tool nun aus dem Web-Store rausgeschmissen. Die Chrome-Erweiterung ist nicht mehr zu empfehlen – wir erklären, wie es dazu kam und zeigen Ihnen tolle Alternativen.

      Einige Nutzer sind davon genervt, dass sich Google Chrome eine Menge Arbeitsspeicher für seine Aufgaben schnappt und damit andere Vorgänge im System möglicherweise verlangsamt. Viele Jahre gab es dafür Abhilfe in Form eines cleveren Add-ons, das über zwei Millionen Nutzer installiert haben. Die Rede ist von The Great Suspender.

      Mittlerweile gibt es jedoch Zweifel an der kostenlosen Anwendung, da der ursprüngliche Entwickler Dean Oemcke Erweiterung bereits im Juni 2020 an ein unbekanntes Unternehmen verkaufte. Wie The Register
      berichtet, gab es seither einige Änderungen am Quellcode, von denen aber keine oder kaum welche bei Github veröffentlicht wurden. Experten befürchten daher, dass über das Add-on möglicherweise Malware eingeschleust, Cryptomining betrieben oder private Daten abgegriffen werden könnten.

      Google hat reagiert und bietet das Add-on nun auch nicht mehr im Chrome Web Store an. Auch CHIP empfiehlt Ihnen, dringend Abstand von dem Tool nehmen, bis der Sachverhalt endgültig geklärt ist. Haben Sie The Great Suspender bereits zu Chrome hinzugefügt, empfehlen wir eine sofortige Deinstallation: Klicken Sie dazu im Chrome-Menü auf "Weitere Tools" und "Erweiterungen" und beim Add-on "The Great Suspender" auf "Entfernen".

      The Great Suspender: Kostenlose Alternativen
      Zum Glück gibt es im Chrome Web Store kostenlose Alternativen, die dieselbe oder ähnliche Funktionen erfüllen. Fakt ist, dass Chrome weniger RAM blockiert, wenn Sie weniger offene Tabs nutzen. Wer keine Lust auf Selbstdisziplin hat, kann sich auf Auto Tab Discard verlassen. Mit wenigen Klicks lassen sich damit alle bis auf den aktiven Tab schließen, aber auch eine Automatik gibt es, falls bestimmte Tabs längere Zeit nicht geöffnet wurden oder zu viel RAM belegen. Ähnlich, aber mit etwas schickerem Design geht der Tab Suspender vor, wo sich die Zeit bis zum Schließen eines ungenutzten Tabs sehr schnell einstellen lässt.

      Einen etwas anderen Ansatz verfolgt OneTab für Chrome: Hier werden alle geöffneten Reiter in einem einzigen vereint. Dadurch verlieren Sie bei größeren Recherchen die gefundenen Websites nicht einfach, sparen aber dennoch eine Menge Leistung ein. Die Tabs werden Ihnen schlicht als Verknüpfungen angezeigt und lassen sich somit schnell wieder öffnen oder für spätere Sessions speichern.
      Auto Tab Discard und OneTab gibt es übrigens auch für Firefox! Sie finden die Links dazu auf den nachfolgenden Downloadseiten.

      Quelle: Great Suspender: Google schmeißt beliebtes Add-on raus - CHIP

    • Sicherheitsupdate: Chrome an mehrere Stellen gegen Schadcode abgesichert

      In der aktuellen Version des Webbrowsers Chrome haben die Entwickler zehn Sicherheitslücken geschlossen.

      Wer mit Googles Chrome unter Linux, macOS oder Windows surft, sollte sicherstellen, dass der Webbrowser auf dem aktuellen Stand ist. Andernfalls könnten Angreifer mehrere Schwachstellen ausnutzen, um Computer zu attackieren.

      Aus einer Warnmeldung geht hervor, dass die Entwickler insgesamt zehn Sicherheitslücken aus dem Weg geschafft haben. In der Meldung sind die CVE-Nummern der Schwachstellen aufgelistet. Der Großteil der Lücken ist mit dem Bedrohungsgrad „hoch“ eingestuft.

      DoS- und Schadcode-Attacken möglich
      Wie üblich, verrät Google kaum Details zu den Schwachstellen. In fast allen Fällen könnten Angreifer Speicherfehler in verschiedenen Kontexten wie Downloads, Media und Payment auslösen.

      Ist so ein Angriff erfolgreich, stürzt eine Anwendung mindestens ab (DoS-Attacke). Oft können Angreifer in so einem Fall aber auch Schadcode auf Computer schieben und ausführen. Chrome 88.0.4324.182 ist abgesichert.

      Standardmäßig aktualisiert sich Chrome beispielsweise unter macOS automatisch. Um die installierte Version zu prüfen, klickt man oben rechts neben der Adressleiste auf die drei vertikal angeordneten Punkte. Unter dem Punkt Hilfe/Über Google Chrome sieht man die installierte Ausgabe. Ist diese veraltet, sollte das Update automatisch starten.

      Quelle: Sicherheitsupdate: Chrome an mehrere Stellen gegen Schadcode abgesichert | heise online

    • Chrome 89: Profil-Auswahl mit persönlichen Einstellungen

      Die neue Version von Googles Browser bietet vor allem Platz für Personalisierungen. Chrome 89 bringt die Profil-Auswahl direkt ins Startmenü.

      In Googles Browser kann sich nun jeder sein Profil einrichten, speichern und dieses auch direkt beim Start auswählen. Damit eignet sich Chrome für Familien und andere Menschen, die ein gemeinsames Gerät benutzen, oder um die unterschiedlichen Verwendungszwecke besser im Überblick zu haben.

      Wie bisher schon kann man in Chrome 89 das Farbschema und andere Designvorlagen auswählen sowie Zugangsdaten speichern. Diese werden nun in einem Profil gespeichert, das beim Start des Browsers ausgewählt werden kann. Ist die Synchronisation aktiviert, sind die Profile auch auf weiteren Geräten abrufbar – samt Design, Lesezeichen, Leseliste und Passwörtern. Neu ist zudem, dass Artikel, die man später lesen möchte, einer Leseliste hinzugefügt werden können.

      Entwickelt wurde die Profil-Funktion in München. Das dortige Google Safety Engineering Center (GSEC) ist 2019 eröffnet worden und kümmert sich maßgeblich um Sicherheitsfunktionen in Chrome. Sowohl Passwortmanager als auch den Google Sicherheitscheck stammen aus dem GSEC. Die Profil-Optionen sollen in den kommenden Wochen für alle Chrome-Versionen verfügbar sein.

      Chrome 89 mit Web NFC, AV1 und Web Serial API
      Chrome für Android kann außerdem Web NFC, mit dem der Browser direkt auf NFC Tags zugreifen kann, ohne auf eine App dafür angewiesen zu sein. Bereits seit Chrome 81 verteilt Google die Funktion teilweise zu Testzwecken. Im Blogbeitrag zu den Betaversionen von Chrome sind die Nutzungsbeispiele ein Museumsbesuch, bei dem per Web NFC Informationen zu Ausstellungsstücken geboten werden können, sowie bei Inventurüberblicken.

      Chrome unterstützt auf Android-Geräten nun auch die native Dekodierung von AVIF-Inhalten. Dazu nutzt der Browser AV1-Decoder. Google hat bereits angekündigt, den freien Videocodec in mehr seiner Dienste integrieren zu wollen.

      Mit dem Web Serial API kann Chrome am Desktop direkt mit Peripheriegeräten kommunizieren – Google nennt Microcontroller und 3D-Drucker. Adapter oder Treiber sind damit nicht mehr nötig.

      Quelle: Chrome 89: Profil-Auswahl mit persönlichen Einstellungen | heise online

    • Sicherheitsupdate: Angreifer nehmen erneut Google Chrome ins Visier

      Die Chrome-Entwickler haben im Webbrowser fünf Sicherheitslücken geschlossen. Eine Schwachstellen sollen Angreifer derzeit ausnutzen.

      Der Webbrowser Chrome ist verwundbar und Angreifer setzen zurzeit gezielt an einer Sicherheitslücke an. In der aktuellen Version haben die Entwickler neben dieser Lücke noch vier weitere geschlossen.

      In einem Beitrag warnen die Entwickler davor, dass Angreifer eine Schwachstelle (CVE-2021-21193) ausnutzen. Die Lücke ist mit dem Bedrohungsgrad "hoch" eingestuft. Die knappe Beschreibung liest sich so, als könnten Angreifer auf nicht näher beschriebenem Weg im HTML-Renderer Blink einen Speicherfehler (use after free) auslösen. So etwas führt oft dazu, dass Schadcode auf Computer gelangt.

      Die aktuelle Version 89.0.4389.90 für Linux, macOS und Windows ist gegen solche Attacken abgesichert. Beispielsweise unter macOS aktualisiert sich der Browser automatisch. Um die installierte Version zu prüfen, klickt man oben rechts auf die drei vertikalen Punkte und dann auf Hilfe/Über Google Chrome. Steht eine Aktualisierung bereit, findet der Download umgehend statt.

      Seit Anfang des Jahres hat Google bereits zwei Sicherheitslücken geschlossen, für die Exploit-Code in Umlauf ist.

      Quelle: Sicherheitsupdate: Angreifer nehmen erneut Google Chrome ins Visier | heise online