Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeLinux-Magazin

Chrome-Update beseitigt Sicherheitsprobleme

15. November 2023 um 08:48

Google hat den Webbrowser Chrome im Stable-Channel auf Version 119.0.6045.159 für Mac und Linux und 119.0.6045.159/.160 für Windows aktualisiert und schließt damit Sicherheitslücken.

Google berichtet von vier Sicherheitslücken, die durch das Update geschlossen werden. Für zwei davon, die von externen Security-Experten gefunden wurden gibt es etwas mehr Informationen.

Demnach steckt eine davon als Use-after-free-Lücke im Garbage Collector des Browsers. Das Risiko der Sicherheitslücke (CVE-2023-5997) wird als hoch eingeschätzt. Von einem Exploit ist aber nicht die Rede.

Ein weiteres Problem mit dem Umgang von bereits freigegebene Daten steckt in der Navigation von Chrome. Auch dieses Problem (CVE-2023-6112) ist mit hohem Risiko verbunden.

Der Beitrag Chrome-Update beseitigt Sicherheitsprobleme erschien zuerst auf Linux-Magazin.

Freier Videocodec: Chrome will Theora entfernen

24. Oktober 2023 um 08:50

Zu alt, kaum oder falsch genutzt und ein großes Sicherheitsrisiko, schreiben die Chrome-Entwickler über den wohl ersten freien Videocodec fürs Web.

Googles Chrome-Entwicklungsteam hat angekündigt, die Unterstützung für den freien Videocodec Theora aus dem Browser entfernen zu wollen. Sollte diese Idee umgesetzt werden, wäre es das Ende des wohl ersten freien und breit verfügbaren Videocodecs für das Web. Das Chrome-Team nennt als Grund für das Entfernen des Codecs die wachsende Gefahr durch Sicherheitslücken im Zusammenhang mit Theora.

Das bezieht sich wohl vor allem auf die prinzipielle Beobachtung, dass nicht nur Zero-Day-Angriffe immer häufiger werden, sondern diese oft speziell Lücken in Mediencodecs ausnutzen. Weiter heißt es zur Begründung: “Theoras geringe (und inzwischen oft falsche) Nutzung rechtfertigt für die meisten Benutzer nicht mehr die Unterstützung. (…) Die Nutzung ist unter ein messbares Niveau im UKM gefallen. Die Websites, die wir manuell überprüft haben, bevor die Werte abfielen, bevorzugten fälschlicherweise Theora gegenüber moderneren Codecs wie VP9.”

Die Geschichte von Theora reicht dabei sehr weit zurück. Bereits vor mehr als 20 Jahren entschied sich das Unternehmen On2 Technologies, gemeinsam mit der Xiph-Foundation den Codec VP3 als offenes Theora weiterzuentwickeln. Breit durchsetzen, vor allem bei kommerziellen Anbietern, konnte sich Theora aber nie. Das zeigte sich etwa an der Diskussion um die Standardisierung des Videoelements in HTML5. Viele Unternehmen bevorzugten weiter H.264.

Erst einige Jahre später übernahm Google On2, legte den Codec VP8 offen und entwickelte kurz darauf VP9. Doch auch VP9 konnte sich außerhalb einiger prominenter Anwendungen wie Youtube oder Netflix in der Breite kaum durchsetzen. Mit dem freien Videocodec AV1, der auch als Nachfolger von VP9 gilt, ändert sich dies nun wohl aber. Eine Notwendigkeit für den Theora-Support im Browser gibt es damit schon lange nicht mehr.

In Safari oder Chrome für Android wurde der Codec nie unterstützt und laut Google erwägt auch Mozilla, den Theora-Support im Firefox zu entfernen. Der aktuelle Plan sieht vor, Theora bis Februar 2024 komplett aus Chrome zu entfernen. Support für den Codec steht danach wohl aber noch über eine Javascript-Bibliothek bereit.

Der Beitrag Freier Videocodec: Chrome will Theora entfernen erschien zuerst auf Linux-Magazin.

Google Chrome schließt Sicherheitslücke

12. September 2023 um 07:47

Mit den neuen Versionen 116.0.5845.187 für Mac und Linux sowie 116.0.5845.187/.188 für Windows schließt das neue Release von Googles Browser Chrome eine kritische Sicherheitslücke.

Dabei handelt es sich laut dem knappen Statement dazu um einen Heap Buffer Overflow in WebP.  Google gibt außerdem bekannt, dass es für das Sicherheitsproblem mit der Kennung CVE-2023-4863 bereits einen Exploit gibt, der auf freier Wildbahn kursiert.

Daneben hat Google auch Chrome 117 (117.0.5938.60) für Android freigegeben. Der mobile Brtowser komme derzeit für einen kleinen Prozentsatz der Nutzer und werde in den nächsten Tagen auf Google Play verfügbar sein. Die Android-Version des Browsers enthalte dieselben Updates und Sicherheitsfixes wie die Desktop-Variante.

Der Beitrag Google Chrome schließt Sicherheitslücke erschien zuerst auf Linux-Magazin.

Update für Chrome schließt riskante Lücken

24. August 2023 um 07:26

Google hat seinen Chrome Browser in neuer Version veröffentlicht, die insgesamt fünf Sicherheitslücken schließt. Von denen stuft Google vier als hochkritisch ein.

Zu den Sicherheitsproblemen mit hochkritischer Einstufung zählt eine Use-after-free-Lücke in Vulcan (CVE-2023-4430). Eine weitere hochkritische Use-after-free-Lücke betrifft den Loader (CVE-2023-4429).

Ein weiteres Problem betrifft die CSS-Abarbeitung, die einen Zugriff außerhalb der Speichergrenzen ermöglicht. Auch das Sicherheitsrisiko dieses Problems ist mit “High” eingestuft. Eine Sicherheitslücke des gleichen Musters betrifft auch V8, die JavaScript-Engine des Browsers. Die Versionen von Chrome 116.0.5845.110 für die unterschiedlichen Plattformen schließen die Lücken.

Aufgrund der schwerwiegenden Probleme ist ein Update des Browsers angebracht. Dies sollte in der Regel automatisch über die Aktualisierungsverwaltung gehen. Google hat zudem kürzere Aktualisierungsintervalle angekündigt. Der Browser soll dann wöchentlich Updates erhalten.

Der Beitrag Update für Chrome schließt riskante Lücken erschien zuerst auf Linux-Magazin.

Google Chrome 117 warnt vor verdächtigen Erweiterungen

21. August 2023 um 10:05

Google will seinen Webbrowser Chrome besser absichern. Ab Chrome 117 weise der Browser seine Nutzer proaktiv darauf hin, wenn eine von ihnen installierte Erweiterung nicht mehr im Chrome Web Store verfügbar ist.

Diese Aktion hängt damit zusammen, das Google Malware sofort bei Entdeckung aus dem Webstore entfernt. Wenn eine Erweiterung für den Browser also nicht mehr im Webstore vorhanden sei, berichtet Google in einem Blogbeitrag, seien nur drei Szenarien vorstellbar. Das erste sei, dass der Entwickler die Erweiterung selbst zurückgezogen hat, das zweite sei, dass die Erweiterung gegen die Richtlinien von Google verstoßen habe und das dritte eben, dass die Browsererweiterung als Schadsoftware enttarnt worden sei. Alle Szenarien seien dafür geeignet, den Nutzer zu informieren, mehr Sicherheit verspreche insbesondere das letzte, die Entdeckung von Malware in der Erweiterung.

In den Einstellungen des Browsers unter “Datenschutz und Sicherheit” sehen Anwender dann unter “Sicherheitscheck” einen Verweis auf aus dem Chrome Web Store entfernte Erweiterungen, die lokal noch installiert sind. Wenn ein Nutzer auf “Überprüfen” klicke, werde er zu seinen Erweiterungen weitergeleitet und habet die Wahl, entweder die Erweiterung zu entfernen oder die Warnung auszublenden, wenn er die Erweiterung installiert lassen möchte. Wie in früheren Versionen von Chrome werden Erweiterungen, die als Malware markiert sind, automatisch deaktiviert, heißt es im Beitrag.

Der Beitrag Google Chrome 117 warnt vor verdächtigen Erweiterungen erschien zuerst auf Linux-Magazin.

4MLinux und TheSSS frischen Softwarepakete auf

02. August 2023 um 07:36

Die schlanken Distributionen 4MLinux und TheSSS liegen in neuen stabilen Versionen vor. Erstmals an Bord von 4MLinux sind SoundFonts für die Audio-Anwendung FluidSynth sowie der Rastergrafikeditor mtPaint.

In den Repositories warten zudem die proprietären Browser Google Chrome, Microsoft Edge und Opera als sogenannte Extensions auf ihre Installation. Ebenfalls hinzu holen lassen sich verschiedene Java-basierte Spiele, wie etwa Flappy Bird. Der Medien-Player XMMS spielt neben AVC/HEVC-Videos auch zahlreiche ältere Dateiformate aus den 1980er- und 1990er-Jahren ab, die unter anderem auf dem Commodore Amiga oder Atari ST gängig waren.

Viele mitgelieferte Softwarepakete liegen in neuen Versionen bei. Bei der Büroarbeit hilft in 4MLinux 43.0 jetzt LibreOffice 7.5.5, ins Internet gehen Firefox 115.0.2 und Chrome 115.0.5790.110. Ebenfalls an Bord ist Thunderbird 115.0.1. Windows-Programme zündet Wine 8.12. Als Skriptsprachen stehen Perl 5.36.0, Python 3.11.3 und Ruby 3.1.4 zur Verfügung.

Wer einen Server betreibt, erhält Apache 2.4.57 und MariaDB 10.6.14. PHP steht in den Versionen 5.6.40, 7.4.33 und 8.1.19 zur Wahl. Diese Softwarepakete bilden zudem die Grundlage der Mini-Server-Distribution TheSSS. Bei ihr handelt es sich um eine maßgeschneiderte Variante von 4MLinux für den Server-Betrieb. Beide Distributionen verwenden den Linux-Kernel 6.1.33.

Der Beitrag 4MLinux und TheSSS frischen Softwarepakete auf erschien zuerst auf Linux-Magazin.

Firefox 115 bringt Hardware-Decoding unter Linux

05. Juli 2023 um 08:01

Mit der Version 115 des Browsers Firefox hat Mozilla das Hardware-Video-Decoding für Intel GPUs unter Linux eingeführt.

Benutzer ohne Plattformunterstützung für die H264-Videodekodierung können nun für die Wiedergabe auf das OpenH264-Plugin von Cisco zurückgreifen.

Zudem lassen sich beim Umstieg von Chrome jetzt Zahlungsmethoden, die in Chrome-basierten Browsern gespeichert waren, in Firefox übernehmen. Und die Entwickler haben die Benutzeroberfläche für den Import von Daten aus anderen Browsern überarbeitet und optimiert.

Unter Linux öffnet ein mittlerer Klick auf die Schaltfläche “Neue Registerkarte” jetzt den Inhalt des xclipboard in der neuen Registerkarte. Wenn der xclipboard-Inhalt eine URL ist, wird diese URL geöffnet, jeder andere Text wird mit Ihrem Standard-Suchanbieter geöffnet, heißt es in den Release Notes.

Web-Entwickler finden eine neue Option, Bibliotheken von Drittanbietern, die beim Debuggen nicht interessieren, zu ignorieren. Ignorieren bedeute, dass Breakpoints nicht angefahren werden und sie beim Stepping übersprungen werden. Man könne nun auch wählen, ob Quellen, die in der Ignorierliste aufgeführt sind, im Quellbaum der Entwicklertools ausgeblendet werden sollen.

Der Beitrag Firefox 115 bringt Hardware-Decoding unter Linux erschien zuerst auf Linux-Magazin.

Kritische Lücken in Google Chrome

27. Juni 2023 um 07:27

Mit einem Update für seinen Chrome-Browser reagiert Google auf die Entdeckung von Sicherheitslücken. Drei davon sind von externen Security-Experten gemeldet worden.

Erneut ist die JavaScript-Engine V8 des Browsers an einem der mit hohem Risiko bewerteten Probleme beteiligt. Es handle sich dabei um ein Type-Confusion-Problem, heißt es in der Mitteilung von Google. Entdeckt hat die Lücke Yue Mo vom GitHub Security Lab. Google hat dafür eine Belohnung von 20.000 US-Dollar aus seinem Bug-Bounty-Topf gezahlt.

Bei den weiteren beiden Lücken, die von Externen gemeldet wurden, handelt es sich um Use-after-Free-Probleme in den Browser-Komponenten Media und GuestView.

Die Chrome-Versionen 114.0.5735.198 für Mac und Linux und 114.0.5735.198/199 für Windows beseitigen die Probleme.

Der Beitrag Kritische Lücken in Google Chrome erschien zuerst auf Linux-Magazin.

Exploit: Google schließt Zero-Day-Lücke in Chrome

06. Juni 2023 um 09:05

Google hat mit einem Update des Browsers Chrome zwei Sicherheitsprobleme beseitigt. Eines davon wurde bereits aktiv für Angriffe ausgenutzt.

Das vom Sicherheitsexperten Clément Lecigne von Googles Threat Analysis Group entdeckte Problem steckt wie so oft in der Javascript-Engine des Browsers. In der V8-Engine sorge ein Type-Confusion-Problem zur Angreifbarkeit. Es sei bereits ein Exploit für die Lücke (CVE-2023-3079) entdeckt worden, die aktiv angegriffen werde, teilt Google mit. Nähere Informationen gibt es wie bei Google üblich nicht. Man wolle Angreifern nicht unnötig in die Hände spielen, bevor die Lücke nicht bei der Mehrheit der Nutzer geschlossen sei, heißt es dazu.

Mit dem Update für Chrome auf Version 114.0.5735.106 für Mac und Linux und Version 114.0.5735.110 für Windows gilt die Lücke und eine weitere als geschlossen.

Der Beitrag Exploit: Google schließt Zero-Day-Lücke in Chrome erschien zuerst auf Linux-Magazin.

Firefox 113erweitert Bild-im-Bild-Funktion

10. Mai 2023 um 07:54

Die neue Version des beliebten Browsers Firefox von Mozilla bringt einen erweiterten Bild-im-Bild-Modus für Videos mit. Weitere Änderungen betreffen unter anderem die Suchleiste, private Fenster, die Passwort-Erstellung und AV1-Animationen.

Bereits die Vorversion von Firefox konnte Bilder anzeigen, die im AV1-Format gespeichert sind (AVIF). In der Version 113 dürfen diese Bilder auch Animationen enthalten (AVIS). Damit existiert für Seitenbetreiber eine weitere Alternative zum alten GIF-Format.

Die Bild-in-Bild-Funktion erlaubt jetzt auch ein Zurückspulen und präsentiert die Laufzeit des Videos. Die Firefox-Entwickler haben zudem an der Suchfunktion geschraubt: Gibt man einen Suchbegriff in die Adressleiste ein, bleibt das Wort dort weiterhin stehen. Solange man nicht explizit eine Webseite ansteuert, kann man den Suchbegriff modifizieren.

In privaten Fenstern blockiert Firefox 113 besser Third-Party-Cookies sowie Speicherversuche von Content Trackern. Automatisch von Firefox generierte Passwörter enthalten ab sofort Sonderzeichen, was zu sicheren Passwörtern führen soll.

Eine überarbeitete Accessibility Engine soll die Zusammenarbeit mit Screenreadern und anderer Software beziehungsweise Frameworks für eine barrierefreie Bedienung verbessern. Beim Import von Lesezeichen aus Safari und Chrome übernimmt Firefox jetzt auch die Favicons.

Der Beitrag Firefox 113erweitert Bild-im-Bild-Funktion erschien zuerst auf Linux-Magazin.

Chrome 113 beseitigt 15 Sicherheitslücken

03. Mai 2023 um 10:36

Mit der stabilen Version 113 des Browsers Chrome hat Google maßgeblich Sicherheitsprobleme korrigiert. Außerdem ist ein neues Symbol als Ersatz für das Schloss in der Adresszeile  angekündigt.

Die Sicherheitsprobleme enthalten in diesem Release allerdings nur Einschätzungen mit mittlerem oder niedrigem Risiko. Wie gewohnt enthält sich Google tiefgreifenderen Informationen zu den Lücken, um potenziellen Angreifern damit nicht in die Karten zu spielen.

Das Schloss bleibt als Menüpunkt zu den Sicherheitsinformationen der Verbindung bestehen, allerdings mit einem neuen Zugangspunkt auf oberster Ebene.

Die neue Version ansonsten nur kleinere Änderungen mit. Google kündigt aber in einem Blogbeitrag an, mit einem kommenden Release, geplant ist Version 117, die Anfang September erscheinen soll, das Schlosssymbol in der Adressleiste mit einem anderen zu ersetzen. Das zeigt dann stilisierte Schieberegler. Die Nutzer hätten bislang das Schlosssymbol mit der Vertrauenswürdigkeit der Seite gleichgesetzt. Und Untersuchungen hätten auch gezeigt, dass viele Nutzer nie verstanden hätten, dass ein Klick auf das Schloss-Symbol wichtige Informationen und Kontrollen anzeigt.

Der Beitrag Chrome 113 beseitigt 15 Sicherheitslücken erschien zuerst auf Linux-Magazin.

Chrome-Update schließt Zero-Day-Lücke

17. April 2023 um 08:49

Mit einem spontanen Update hat Google auf ein kritisches Sicherheitsproblem im Browser Chrome reagiert.

Das Update auf Chrome 112.0.5615.121 für Windows MacOS und Linux beseitigt zwei Sicherheitslücken. Das Sicherheitsproblem mit CVE-2023-2033 wird laut Google bereits aktiv ausgenutzt. Es existiere ein Exploit dafür, heißt es in der Ankündigung zu Chrome. Wie gewohnt hüllt sich Google zur Sicherheitslücke selbst weitgehend in Schweigen, um möglichen Angreifern keine Informationen zukommen zu lassen. Es wird lediglich berichtet, dass es sich um eine Type Confusion in der JavaScript Engine V8 des Browsers handelt.

Die Updates für die verschiedenen Betriebssysteme sollten automatisch bei den Anwendern ankommen. Google hat nach eigenen Angaben am Wochenende mit der Verteilung begonnen. Für Android-Systeme lautet die fehlerbereinigte Version des Browsers auf 112.0.5615.100/.101.

Der Beitrag Chrome-Update schließt Zero-Day-Lücke erschien zuerst auf Linux-Magazin.

CVE: Google, Fedora und Microsoft mit den meisten Schwachstellen

15. März 2023 um 09:07

Der VPN-Anbieter AtlasVPN hat die “Common Vulnerabilities and Exposures§-Datenbanken (CVE) für das Jahr 2022 untersucht und kommt zum Schluss, dass Google, das Fedora Projekt und Microsoft Produkte dort mit den meisten Schwachstellen verzeichnet sind.

Der Untersuchung nach wiesen Google-Produkte 1372 Sicherheitslücken im Jahr 2022 auf, die meisten von allen Anbietern. Das Android-Betriebssystem kam dabei auf 897 Schwachstellen, und die Sicherheitsforscher fanden 283 Schwachstellen im Chrome-Browser. Das Fedora Projekt landet mit 945 entdeckten Schwachstellen auf dem zweiten Platz und Microsoft-Produkte mit 939 Sicherheitslücken auf dem dritten. Debian-Produkte enthielten 887 Schwachstellen auf, und das Linux-Betriebssystem von Debian hatte 884 Schwachstellen. Apple wies 456 Schwachstellen in seinen Produkten auf, davon entfielen auf macOS 379 Schwachstellen, berichtet AtlasVPN.

Zu der Statistik seien allerdings einige Erläuterungen nötig, so AtlasVPN. Eine davon sei, dass mehr entdeckte Schwachstellen nicht gleichbedeutend mit weniger Sicherheit seien. Bei Open Source Projekten würden, bedingt durch die oft hohe Zahl an Beteiligten, auch mehr Schwachstellen entdeckt. Werden diese auch behoben, könnte die Software letztlich auch sicherer sein.

Ein weiterer Faktor sei der Schweregrad der Lücken. CVE bewerte diese von 0 bis 10, wobei 10 für die kritischsten und schwerwiegendsten Schwachstellen stehe.  Wenn man diese Einschätzungen berücksichtigt, sieht es für Fedora wie folgt aus: Nur 2 Prozent der Schwachstellen werden im Fedora-Projekt als besonders schwerwiegend eingestuft, während der Stufen 6 bis 7 dann 21 Prozent aller Exploits ausmachen. Die Mehrheit, 28 Prozent der Schwachstellen, wird mit 4 bis 5 bewertet. Außerdem entfallen 10 Prozent auf Exploits, die mit 0 bis 1 bewertet wurden, berichtet AtlasVPN.

Gemessen am Schweregrad rückt Microsoft nach oben. Mehr als ein Fünftel (23 Prozent) der in Microsoft-Produkten gefundenen Sicherheitslücken werden mit 9+ bewertet. Darüber hinaus werden 20 Prozent der Sicherheitslücken mit 7 bis 8 bewertet. Solch hohe Bewertungen bedeuten, dass entdeckte Sicherheitslücken in Microsoft-Produkten häufiger ausgenutzt werden und den größten Schaden auf dem Gerät des Opfers anrichten können, so AtlasVPN.

Der Beitrag CVE: Google, Fedora und Microsoft mit den meisten Schwachstellen erschien zuerst auf Linux-Magazin.

Chrome 110 schließt viele Sicherheitslücken

08. Februar 2023 um 09:31

Google hat mit der stabilen Version 110 seines Browsers 15 Sicherheitsprobleme beseitigt. Davon gelten mehrere als mit hohem Risiko für die Nutzer behaftet.

Zu den von Google wie gewohnt knappen Hinweisen zu den Sicherheitsproblemen zählt bei einer der drei als hochriskant bewerteten, dass es in der JavaScript Engine auftaucht und zwar als Type-Confusion-Lücke. Darüber könnte unter Umständen auch Code eingeschleust werden.

Ein weiteres Problem entsteht durch eine fehlerhafte Implementierung des Vollbild-Modus. Darüber sei es möglich, über manipulierte HTML-Seiten Inhalte des Security-UI zu fälschen.

Die dritte hochkritische Lücke steckt in WebRTC. Dort ermöglicht ein Out-of-Bound-Fehler den Angriff. Über manipulierte Webseiten sei damit das Auslesen von Informationen möglich.

Die oben genannten Fehler seien von externen Sicherheitsexperten entdeckt worden, schreibt Google in der Ankündigung.  Google selbst hat fünf Sicherheitslücken entdeckt, gibt dazu aber keine Informationen preis.

Der Beitrag Chrome 110 schließt viele Sicherheitslücken erschien zuerst auf Linux-Magazin.

Beliebteste Browser und Betriebssysteme im Jahr 2022

05. Januar 2023 um 08:08

Das Unternehmen Statcounter veröffentlicht regelmäßig unter anderem die Marktanteile von Betriebssystemen und Browsern. Demnach verwendeten die meisten Nutzerinnen und Nutzer im Jahr 2022 den Browser Chrome. Firefox verlor langsam aber stetig Marktanteile.

Einen Einbruch gab es im März, zum Ende des Jahres lag der Markteinteil von Firefox nur bei 7,21 Prozent. Demgegenüber verwendeten Chrome zum Jahreswechsel 66,41 Prozent. Diese Zahlen gelten für die weltweite Nutzung. Gemäß Statcounter ist in Deutschland Firefox deutlich populärer: Dort lief er im letzten Jahr auf fast 20 Prozent aller Systeme. Chrome lag Ende des Jahres mit fast 45 Prozent aber auch in Deutschland vorne. Statcounter untersuchte allerdings nur die Browsernutzung unabhängig vom Betriebssystem. Es bleibt somit offen, ob die Marktanteile der Browser unter Linux identisch ausfallen.

In einer weiteren Statistik führt Statcounter die Marktanteile der Betriebssysteme auf. Demnach blieb der Marktanteil von Windows weltweit bis zum Jahresende unter 30 Prozent. Linux blieb relativ konstant bei etwas über 1 Prozent. Marktführer ist und bleibt Android mit 44,6 Prozent.

Die Statistiken sind allerdings mit Vorsicht zu genießen: Statcounter verwendet nach eigenen Angaben einen Tracking-Code auf über 1,5 Millionen Webseiten, über den das Unternehmen die Browser-Kennung ausliest. Server bleiben somit unerkannt, gleiches gilt für anonymisierte Browser.

Der Beitrag Beliebteste Browser und Betriebssysteme im Jahr 2022 erschien zuerst auf Linux-Magazin.

❌
❌