Google Chrome: Schwere Sicherheitslücke wird aktiv ausgenutzt, aktualisiert jetzt
von caschy | 15 Kommentare
Schwere Sicherheitslücke in Sicht – Updatepflicht! Die finale Version von Chrome 73 steht eigentlich für den 12. März an. Dennoch wird erst einmal die Version 72.0.3626.121 für Windows, Mac und Linux zwischendurch verteilt. Und da ist angeraten, dass man schnell aktualisiert – und ich hoffe einmal, dass die ganzen Hersteller, die auf Chromes Engine setzen, da ratzfatz nachziehen.
Offenbar beinhalten ältere Versionen als Chrome 72.0.3626.121 eine Sicherheitslücke, die bereits aktiv von Angreifern ausgenutzt wird. Genauere Informationen zur Sicherheitslücke (CVE-2019-5786: Use-after-free in FileReader) werde man geheimgehalten, bis sichergestellt ist, dass ein Großteil der Nutzer auf die Version ohne die Sicherheitslücke, also Chrome 72.0.3626.121 aktualisiert haben. So heißt es nur bisher: „Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen.“
Also, seriously, update your Chrome installs… like right this minute. #PSA
— Justin Schuh ? (@justinschuh) March 6, 2019
Wird geladen ...
Wenn das Apple oder Microsoft wäre. Hatte man das publik gemacht.
Hat man hier ja auch, sonst könntest du die Meldung ja nicht lesen. Du hast aber recht, Apple oder Microsoft hätten wieder mehr als 90 Tage gebraucht, um so einen Fehler zu fixen, dann hätte Google dann auch gleich die Details veröffentlicht.
Und woher weißt Du jetzt wie lange Google da genau dazu gebraucht hat? Wenn die Lücke tatsächlich schon ausgenutzt wird, denke ich die ist nicht erst seit 3 Tage zu finden.
Google schreibt hier https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html folgendes:
“ [$N/A][936448] High CVE-2019-5786: Use-after-free in FileReader. Reported by Clement Lecigne of Google’s Threat Analysis Group on 2019-02-27″
Der Fehler wurde also am 27.02. bekannt und am bereits 01.03. eine gepatchte Version von Chrome veröffentlicht. Das sind gerade mal zwei Tage…
Kannst du im Chromium-Quelltext nachlesen. Am 27.2. gemeldet und der Commit für den Bug 936448 war am 28.2.: https://chromium.googlesource.com/chromium/src/+/150407e8d3610ff25a45c7c46877333c4425f062
Na Markus. Lesen ist nicht so Deine Stärke. Blindlings meckern eher. AfD–Wähler?
Wollt mich grad bei den anderen bedanken, aber wenn ich dann sowas wie deinen Dumpfbeutel-Kommentar les, vergeht es mir schon wieder. Sowas traust Du dich auch nur hier im Internet Du Dummkopf. Du kannst ja nicht einmal ne Frage von meckern unterscheiden.
Welche Version ist die mit bzw. ohne Sicherheitslücke? Im Text wird nur eine Version genannt: 3x die 72.0.3626.121
Das ist eindeutig im Artikel beschrieben.
Ältere Versionen, als 72.0.3626.121 sind die mit Sicherheitslücke. Ist doch nicht so schwer.
Ah, „älter als“. Ergibt Sinn, ja. 😀 Hab scheinbar gelesen „Die ältere Version XY“ und mich dann über die gleiche Versionsnummer gewundert.
Danke für den Hinweis. Ich war noch bei Version 70. Nachteil davon, wenn man das Macbook nie runterfährt bzw den Browser nie beendet – so kann er sich nicht automatisch aktualisieren.
Also sind die isolierten Prozesse auch für die Katz?
Wann kommt denn mal wieder eine Standalone Version von Chrome raus.. ?
Was bedeutet eigentlich „Ein entfernter, nicht authentisierter Angreifer“? Kann doch eigentlich nur über eine präparierte
Webseite gehen, und damit wäre die Gefahr ja nicht ganz so groß, wenn man hier Vorsicht walten lässt! Oder wie soll dieser
Angreifer sonst etwas über meinen lokalen Chrome Browser ausführen können?