Mit dem Update des Chrome-Browsers auf Version 102 schließt Google unter anderem 32 Sicherheitslücken.

Von den Sicherheitsproblemen, die von externen Experten entdeckt wurden, sind acht mit „hohem“ Risiko bewertet und eine als kritisch, weitere 16 Sicherheitslücken sind mit mittlerem oder geringem Risiko eingeschätzt.

Zu den neuen Funktionen des Chrome-Browsers zählt das Anordnen von Tabs über die Tastatur. Mit der Tastenkombination STR+Shift und dem drücken von Page Up oder Page Down lassen sich die im Fokus stehenden Tabs verschieben.

Mit der neuen Funktion “Capture Handle” können Anwender einen bestimmten Tab erfassen und ihn dann in einem separaten Fenster steuern. Eine Demo auf Github erläutert das Prinzip, die Links zur Demo finden sich hier.

Der Beitrag Chrome 102 schließt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Mit dem Update des Chrome-Browsers auf Version 03.0.5060.53 hat Google Sicherheitslücken geschlossen, darunter eine als kritisch eingestufte.

14 Sicherheitsprobleme weniger weist der Chrome-Browser für den Desktop in der aktuellen Version auf. Die kritische Lücke wird als Use after free in Base bezeichnet. Nähere Informationen dazu gibt es nicht. Googles Project Zero hat die Lücke entdeckt. Lücken mit hohem Risiko stecken auch in den Komponenten Interest Groups und der V8-JavaScript-Engine. Letztere ist immer wieder Schauplatz von Sicherheitsproblemen. Dieses Mal sei ein Type-Confusion-Problem aufgetreten.

Weitere aufgeführte Sicherheitslücken sind mit mittlerer bis niedriger Gefährdung gekennzeichnet. Bei vier weiteren Lücken nennt Google weder Details noch Gefährungsgrad.

Der Beitrag Chrome-Update schließt viele Lücken erschien zuerst auf Linux-Magazin.

Mit einem Update für den Chrome-Brwoser schließt Google unter anderem auch mehrere Sicherheitslücken. Eine davon werde bereits aktiv ausgenutzt, heißt es in der Mitteilung.

Das mit hohem Risiko eingestufte Sicherheitsproblem mit der CVE-2022-2294 steckt in der Komponente WebRTC (Web Real-Time Communication) des Browsers. Dort könne es unter Umständen zu einem Heap-Buffer-Overflow kommen, der sich ausnutzen lasse. Für diese Lücke existiere ein Exploit, der bereits im Umlauf sei, schreibt Google.

Eine weitere Sicherheitslücke, ebenfalls mit hohem Risiko bewertet, steckt in der V8-Engine des Browsers. Die Engine ist für die Abarbeitung von JavaScript und WebAssembly zuständig und regelmäßig unter den Kandidaten für Sicherheitslücken. Und auch die Chrome OS Shell ist von einer Sicherheitslücke betroffen, die das Update schließt.

Neben der Desktop-Version wird auch Chrome für Android aktualisiert. Im mobilen Browser steckt ebenfalls die Lücke in WebRTC und der V8-Engine.

Der Beitrag Google schließt Zero-Day-Lücke in Chrome erschien zuerst auf Linux-Magazin.

Der Browser Chrome von Google bekommt ein Update, das insgesamt elf Sicherheitslücken schließt. Fünf davon sind mit hohem Sicherheitsrisiko eingeschätzt.

In den Versionen 103.0.5060.134 für Windows, Mac und Linux sind die Sicherheitsprobleme beseitigt. Vier der mit hohem Risiko behafteten Sicherheitslücken sind wegen einer Use-After-Free-Schwachstelle gefährlich. Mit Use-after-Free ist ein Sicherheitsproblem im Zusammenhang mit der falschen Verwendung von dynamischem Speicher während der Programmausführung gemeint. Wenn ein Programm nach dem Freigeben eines Speicherplatzes den Zeiger auf diesen Speicher nicht löscht, kann ein Angreifer diesen Fehler nutzen, um das Programm zu kompromittieren.

Im Einzelnen stecken die Probleme in der PDF-Komponente, im Guest View in der Service Worker API und in View. Eine weitere riskante Lücke entsteht zudem durch unzureichende Validierung von nicht vertrauenswürdigen Eingaben in File, teilt Google mit. Die neue Version des Browsers soll in den kommenden Tagen bei den Nutzern ankommen.

Der Beitrag Chrome braucht dringend ein Sicherheitsupdate erschien zuerst auf Linux-Magazin.

Die auch für Tracking genutzten Third-Party-Cookies will Google in Chrome ersetzen. Das soll nun erst in zwei Jahren geschehen.

Seit inzwischen fast drei Jahren arbeitet Google an Techniken, die die bisher für webseitenübergreifendes Tracking genutzten Third-Party-Cookies im Chrome-Browser ersetzen sollen. Die Umsetzung hat Google nun aber erneut verschoben: auf Ende 2024, wie es in einem aktuellen Blogeintrag des Unternehmens heißt.

Bereits im vergangenen Jahr musste Google den Termin verschieben, ursprünglich geplant war die Einführung neuer Technik und die Abschaffung der Third-Party-Cookies eigentlich früh im Jahr 2022. Als Grund für die Verzögerungen nennt das Unternehmen vor allem das Feedback der Web-Community, die sich mehr Zeit zum Testen der neuen alternativen APIs gewünscht habe. Konkret handelt es sich dabei um die Privacy-Sandbox-APIs.

Google selbst räumt aber ein, dass die Verzögerungen auch im Einklang mit Forderungen von Markt- und Kartellwächtern stehe, damit die Industrie genügend Zeit hat, auf die neuen Techniken zu wechseln. Immerhin sammelt Google auch selbst Daten auf Webseiten und vermarktet diese zu Werbezwecken. Eine zu schnelle Einführung der Technik könnte die Konkurrenz massiv benachteiligen. Der Testzeitraum soll entsprechend deutlich vergrößert werden, bevor die Third-Party-Cookies in Chrome wirklich abgeschafft werden.

Zwar könnten Entwickler die Technik schon nutzen, noch im August würden die Versuche damit aber auf “Millionen von Nutzern weltweit” ausgeweitet. Die Anzahl der ausgewählten Nutzer soll dabei bis ins Jahr 2023 hinein kontinuierlich ansteigen. Die Nutzer sollen dabei entscheiden können, ob sie teilnehmen wollen oder nicht, und werden darüber über ein gesondertes Fenster informiert.

Im dritten Quartal 2023 sollen die APIs dann weltweit an alle Chrome-Verwender verteilt werden und standardmäßig in Chrome verfügbar sein. In der zweiten Hälfte des Jahres 2024 erst soll die Unterstützung für Third-Party-Cookies auslaufen.

Der Beitrag Google verschiebt Ende von Third-Party-Cookies erschien zuerst auf Linux-Magazin.

Insgesamt werden mit den neuen Versionen 104.0.5112.101 für Linux und Mac sowie 104.0.5112.101/102 von Google Chrome für Windows elf Sicherheitslücken beseitigt. Für eine gibt es bereits einen Exploit in freier Wildbahn.

Google sei bekannt, dass es einen Exploit für das Problem mit der Nummer CVE-2022-2856 in freier Wildbahn gebe, heißt es in der Mitteilung zur neuen Version von Chrome. Die Lücke entstehe durch eine unzureichende Validierung von nicht vertrauenswürdigen Eingaben in Intents, heißt es weiter. Die Sicherheitslücke hat Google mit dem Attribut hohes Risiko versehen. In dieser Klasse gibt es weitere sechs Probleme, die das Update beseitigt. Lediglich eine Lücke ist als kritisch eingestuft. Sie ensthet durch einen Use-after-free-Fehler in der FedCM-Komponente. Die Federated Credential Management API (FedCM) ermöglicht es Benutzern, sich mit ihren föderierten Konten auf Websites anzumelden, wobei der Datenschutz gewahrt bleiben soll. Da Google keine weitere Beschreibung der Lücke liefert, ist nicht abzusehen, welches Ausmaß der Fehler hat. In der Ankündigung sind weitere Lücken aufgezählt.

Der Beitrag Update für Google Chrome beseitigt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Mit den Browserversionen Chrome 105.0.5195.52 für Mac OS und Linux und 105.0.5195.52/53/54 für Windows beseitigt Google eine ganze Reihe von Sicherheitslücken.

Eine davon, ein „Use after free“-Fehler in den Network Services gilt als kritisch. 20 weitere Probleme sind wahlweise als mit hohem oder mittlerem Risiko eingestuft. Drei Lücken haben ein geringes Schadpotenzial. Wie üblich gibt Google keine Details zu den Problemen bekannt, um Angreifer nicht weiter zu informieren

Google weist zudem darauf hin, dass viele der aufgelisteten Sicherheitsprobleme mit AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer oder AFL entdeckt worden seien.

Der Beitrag Sicherheitsupdate für Chrome beseitigt Lücken erschien zuerst auf Linux-Magazin.

Der Browser Chrome von Google braucht ein Update, das eine Sicherheitslücke schließt. Für diese Lücke existiert bereits ein Exploit, lässt Google wissen.

Entsprechende Meldungen habe man bekommen, heißt es im Chrome-Blog. Bei dem Sicherheitsproblem selbst handelt es sich um einen Fehler im IPC-System Mojo. Dort werden Eingaben nicht ausreichend geprüft, heißt es im Beitrag. Weitere Informationen hält Google zurück, um nicht weitere potenzielle Angreifer damit zu versorgen. Es ist also nicht nachvollziehbar, welche Auswirkungen ein erfolgreicher Exploit nach sich zieht.

Google stellt mit den Versionen 105.0.5195.102 für Windows, Mac und Linux gepatchte Ausgaben des Browsers bereit.

Der Beitrag Chrome braucht Update gegen Exploit erschien zuerst auf Linux-Magazin.

Ab dem 21. November können Add-on-Entwickler für den Firefox erstmals offiziell ihre Erweiterungen zur Nutzung und Signierung einreichen, die auf dem neuen sogenannten Manifest v3 basieren.

Das kündigt Browser-Hersteller Mozilla an. An die Entwickler gerichtet heißt es: “Eine frühzeitige MV3-Signierung ermöglicht es Ihnen, die zukünftige Funktionalität Ihrer Erweiterung unter Nightly zu testen, um einen reibungslosen Übergang zu MV3 in Firefox zu gewährleisten.”

Vorgestellt hatte Mozilla eine Entwicklungsvorschau für das Manifest v3 bereits im Frühjahr dieses Jahres. Mit den nun ankündigten Änderungen lassen sich derartige Add-ons direkt produktiv testen. Allgemein zur Verfügung stehen soll die neue Technik mit der stabilen Veröffentlichung von Firefox 109, die für den 17. Januar 2023 geplant ist.

Beim Manifest v3 handelt es sich um ein Regelwerk sowie unter anderem um eine Sammlung von Schnittstellen, die für Erweiterungen im Browser zur Nutzung bereitstehen. Die Einführung des Manifest v3 im Chrome-Browser führte zu zahlreichen Diskussionen und weitreichender Kritik an Hersteller Google, da das Team damit die Funktion bestehender Techniken, allen voran Werbeblockern, aktiv einschränkt.

Die Diskussionen rund um die Einführung des Manifest v3 in Chrome betrafen vor allem die Webrequest-API beziehungsweise deren von Google genutzten Ersatz Declarative Net Request (DNR). Mozilla wiederholt nun aber erneut, dass auch mit dem Manifest v3 die Webrequest-API erhalten bleiben soll. Eine kompatible DNR-Schnittstelle soll es aber ebenfalls geben, da diese wichtige Vorteile für Leistung und Kompatibilität biete.

Darüber hinaus werde Mozilla anstelle der Service Worker außerdem die sogenannten Event Pages für Hintergrundskripte nutzen. Über die Event Pages ist ein Zugriff auf das DOM und Web-APIs möglich, was mit den Service Workern so nicht umsetzbar sei. Die Service Worker sollen dennoch künftig ebenfalls im Manifest v3 des Firefox unterstützt werden.

Ende 2023 will Mozilla das Manifest v3 evaluieren und untersuchen, ob und welche Funktionen aus dem Manifest v2 eventuell künftig weiterhin notwendig sind. Erst danach will Mozilla über einen Zeitplan für die Abschaffung des Manifest v2 nachdenken.

Der Beitrag Firefox akzeptiert Add-ons mit neuer Chrome-Erweiterungs-API erschien zuerst auf Linux-Magazin.

Google hat ein Update für seinen Chrome-Browser für Linux, Mac OS und Windows herausgegeben. Ein Einspielen des Updates ist nötig, weil die damit geschlossene Sicherheitslücke bereits ausgenutzt werden kann.

Wie gewohnt sind die Informationen von Google zur Lücke spärlich, um Angreifern damit nicht in die Hände zu spielen. Es handelt sich aber wie so oft um einen Speicherfehler. Google mahnt zum Update, weil es einen Exploit der Lücke gibt, der sich bereits im Umlauf befindet.

Da mit dem Update nur eine Lücke geschlossen wird, dürfte wahlweise die Ausnutzung relativ einfach sein oder der anzurichtende Schaden hoch. Die Sicherheitslücke (CVE-2022-4135) wurde von Googles Thread Analysis Group entdeckt. Google gibt an, dass es mehr Details zur Lücke gibt, wenn sie mehrheitlich bei den Nutzern gepatcht ist.

Der Beitrag Exploit unterwegs: Chrome braucht Update erschien zuerst auf Linux-Magazin.

Das Unternehmen Statcounter veröffentlicht regelmäßig unter anderem die Marktanteile von Betriebssystemen und Browsern. Demnach verwendeten die meisten Nutzerinnen und Nutzer im Jahr 2022 den Browser Chrome. Firefox verlor langsam aber stetig Marktanteile.

Einen Einbruch gab es im März, zum Ende des Jahres lag der Markteinteil von Firefox nur bei 7,21 Prozent. Demgegenüber verwendeten Chrome zum Jahreswechsel 66,41 Prozent. Diese Zahlen gelten für die weltweite Nutzung. Gemäß Statcounter ist in Deutschland Firefox deutlich populärer: Dort lief er im letzten Jahr auf fast 20 Prozent aller Systeme. Chrome lag Ende des Jahres mit fast 45 Prozent aber auch in Deutschland vorne. Statcounter untersuchte allerdings nur die Browsernutzung unabhängig vom Betriebssystem. Es bleibt somit offen, ob die Marktanteile der Browser unter Linux identisch ausfallen.

In einer weiteren Statistik führt Statcounter die Marktanteile der Betriebssysteme auf. Demnach blieb der Marktanteil von Windows weltweit bis zum Jahresende unter 30 Prozent. Linux blieb relativ konstant bei etwas über 1 Prozent. Marktführer ist und bleibt Android mit 44,6 Prozent.

Die Statistiken sind allerdings mit Vorsicht zu genießen: Statcounter verwendet nach eigenen Angaben einen Tracking-Code auf über 1,5 Millionen Webseiten, über den das Unternehmen die Browser-Kennung ausliest. Server bleiben somit unerkannt, gleiches gilt für anonymisierte Browser.

Der Beitrag Beliebteste Browser und Betriebssysteme im Jahr 2022 erschien zuerst auf Linux-Magazin.

Google hat mit der stabilen Version 110 seines Browsers 15 Sicherheitsprobleme beseitigt. Davon gelten mehrere als mit hohem Risiko für die Nutzer behaftet.

Zu den von Google wie gewohnt knappen Hinweisen zu den Sicherheitsproblemen zählt bei einer der drei als hochriskant bewerteten, dass es in der JavaScript Engine auftaucht und zwar als Type-Confusion-Lücke. Darüber könnte unter Umständen auch Code eingeschleust werden.

Ein weiteres Problem entsteht durch eine fehlerhafte Implementierung des Vollbild-Modus. Darüber sei es möglich, über manipulierte HTML-Seiten Inhalte des Security-UI zu fälschen.

Die dritte hochkritische Lücke steckt in WebRTC. Dort ermöglicht ein Out-of-Bound-Fehler den Angriff. Über manipulierte Webseiten sei damit das Auslesen von Informationen möglich.

Die oben genannten Fehler seien von externen Sicherheitsexperten entdeckt worden, schreibt Google in der Ankündigung.  Google selbst hat fünf Sicherheitslücken entdeckt, gibt dazu aber keine Informationen preis.

Der Beitrag Chrome 110 schließt viele Sicherheitslücken erschien zuerst auf Linux-Magazin.

Der VPN-Anbieter AtlasVPN hat die “Common Vulnerabilities and Exposures§-Datenbanken (CVE) für das Jahr 2022 untersucht und kommt zum Schluss, dass Google, das Fedora Projekt und Microsoft Produkte dort mit den meisten Schwachstellen verzeichnet sind.

Der Untersuchung nach wiesen Google-Produkte 1372 Sicherheitslücken im Jahr 2022 auf, die meisten von allen Anbietern. Das Android-Betriebssystem kam dabei auf 897 Schwachstellen, und die Sicherheitsforscher fanden 283 Schwachstellen im Chrome-Browser. Das Fedora Projekt landet mit 945 entdeckten Schwachstellen auf dem zweiten Platz und Microsoft-Produkte mit 939 Sicherheitslücken auf dem dritten. Debian-Produkte enthielten 887 Schwachstellen auf, und das Linux-Betriebssystem von Debian hatte 884 Schwachstellen. Apple wies 456 Schwachstellen in seinen Produkten auf, davon entfielen auf macOS 379 Schwachstellen, berichtet AtlasVPN.

Zu der Statistik seien allerdings einige Erläuterungen nötig, so AtlasVPN. Eine davon sei, dass mehr entdeckte Schwachstellen nicht gleichbedeutend mit weniger Sicherheit seien. Bei Open Source Projekten würden, bedingt durch die oft hohe Zahl an Beteiligten, auch mehr Schwachstellen entdeckt. Werden diese auch behoben, könnte die Software letztlich auch sicherer sein.

Ein weiterer Faktor sei der Schweregrad der Lücken. CVE bewerte diese von 0 bis 10, wobei 10 für die kritischsten und schwerwiegendsten Schwachstellen stehe.  Wenn man diese Einschätzungen berücksichtigt, sieht es für Fedora wie folgt aus: Nur 2 Prozent der Schwachstellen werden im Fedora-Projekt als besonders schwerwiegend eingestuft, während der Stufen 6 bis 7 dann 21 Prozent aller Exploits ausmachen. Die Mehrheit, 28 Prozent der Schwachstellen, wird mit 4 bis 5 bewertet. Außerdem entfallen 10 Prozent auf Exploits, die mit 0 bis 1 bewertet wurden, berichtet AtlasVPN.

Gemessen am Schweregrad rückt Microsoft nach oben. Mehr als ein Fünftel (23 Prozent) der in Microsoft-Produkten gefundenen Sicherheitslücken werden mit 9+ bewertet. Darüber hinaus werden 20 Prozent der Sicherheitslücken mit 7 bis 8 bewertet. Solch hohe Bewertungen bedeuten, dass entdeckte Sicherheitslücken in Microsoft-Produkten häufiger ausgenutzt werden und den größten Schaden auf dem Gerät des Opfers anrichten können, so AtlasVPN.

Der Beitrag CVE: Google, Fedora und Microsoft mit den meisten Schwachstellen erschien zuerst auf Linux-Magazin.

Mit einem spontanen Update hat Google auf ein kritisches Sicherheitsproblem im Browser Chrome reagiert.

Das Update auf Chrome 112.0.5615.121 für Windows MacOS und Linux beseitigt zwei Sicherheitslücken. Das Sicherheitsproblem mit CVE-2023-2033 wird laut Google bereits aktiv ausgenutzt. Es existiere ein Exploit dafür, heißt es in der Ankündigung zu Chrome. Wie gewohnt hüllt sich Google zur Sicherheitslücke selbst weitgehend in Schweigen, um möglichen Angreifern keine Informationen zukommen zu lassen. Es wird lediglich berichtet, dass es sich um eine Type Confusion in der JavaScript Engine V8 des Browsers handelt.

Die Updates für die verschiedenen Betriebssysteme sollten automatisch bei den Anwendern ankommen. Google hat nach eigenen Angaben am Wochenende mit der Verteilung begonnen. Für Android-Systeme lautet die fehlerbereinigte Version des Browsers auf 112.0.5615.100/.101.

Der Beitrag Chrome-Update schließt Zero-Day-Lücke erschien zuerst auf Linux-Magazin.

Mit der stabilen Version 113 des Browsers Chrome hat Google maßgeblich Sicherheitsprobleme korrigiert. Außerdem ist ein neues Symbol als Ersatz für das Schloss in der Adresszeile  angekündigt.

Die Sicherheitsprobleme enthalten in diesem Release allerdings nur Einschätzungen mit mittlerem oder niedrigem Risiko. Wie gewohnt enthält sich Google tiefgreifenderen Informationen zu den Lücken, um potenziellen Angreifern damit nicht in die Karten zu spielen.

Das Schloss bleibt als Menüpunkt zu den Sicherheitsinformationen der Verbindung bestehen, allerdings mit einem neuen Zugangspunkt auf oberster Ebene.

Die neue Version ansonsten nur kleinere Änderungen mit. Google kündigt aber in einem Blogbeitrag an, mit einem kommenden Release, geplant ist Version 117, die Anfang September erscheinen soll, das Schlosssymbol in der Adressleiste mit einem anderen zu ersetzen. Das zeigt dann stilisierte Schieberegler. Die Nutzer hätten bislang das Schlosssymbol mit der Vertrauenswürdigkeit der Seite gleichgesetzt. Und Untersuchungen hätten auch gezeigt, dass viele Nutzer nie verstanden hätten, dass ein Klick auf das Schloss-Symbol wichtige Informationen und Kontrollen anzeigt.

Der Beitrag Chrome 113 beseitigt 15 Sicherheitslücken erschien zuerst auf Linux-Magazin.

Die neue Version des beliebten Browsers Firefox von Mozilla bringt einen erweiterten Bild-im-Bild-Modus für Videos mit. Weitere Änderungen betreffen unter anderem die Suchleiste, private Fenster, die Passwort-Erstellung und AV1-Animationen.

Bereits die Vorversion von Firefox konnte Bilder anzeigen, die im AV1-Format gespeichert sind (AVIF). In der Version 113 dürfen diese Bilder auch Animationen enthalten (AVIS). Damit existiert für Seitenbetreiber eine weitere Alternative zum alten GIF-Format.

Die Bild-in-Bild-Funktion erlaubt jetzt auch ein Zurückspulen und präsentiert die Laufzeit des Videos. Die Firefox-Entwickler haben zudem an der Suchfunktion geschraubt: Gibt man einen Suchbegriff in die Adressleiste ein, bleibt das Wort dort weiterhin stehen. Solange man nicht explizit eine Webseite ansteuert, kann man den Suchbegriff modifizieren.

In privaten Fenstern blockiert Firefox 113 besser Third-Party-Cookies sowie Speicherversuche von Content Trackern. Automatisch von Firefox generierte Passwörter enthalten ab sofort Sonderzeichen, was zu sicheren Passwörtern führen soll.

Eine überarbeitete Accessibility Engine soll die Zusammenarbeit mit Screenreadern und anderer Software beziehungsweise Frameworks für eine barrierefreie Bedienung verbessern. Beim Import von Lesezeichen aus Safari und Chrome übernimmt Firefox jetzt auch die Favicons.

Der Beitrag Firefox 113erweitert Bild-im-Bild-Funktion erschien zuerst auf Linux-Magazin.

Google hat mit einem Update des Browsers Chrome zwei Sicherheitsprobleme beseitigt. Eines davon wurde bereits aktiv für Angriffe ausgenutzt.

Das vom Sicherheitsexperten Clément Lecigne von Googles Threat Analysis Group entdeckte Problem steckt wie so oft in der Javascript-Engine des Browsers. In der V8-Engine sorge ein Type-Confusion-Problem zur Angreifbarkeit. Es sei bereits ein Exploit für die Lücke (CVE-2023-3079) entdeckt worden, die aktiv angegriffen werde, teilt Google mit. Nähere Informationen gibt es wie bei Google üblich nicht. Man wolle Angreifern nicht unnötig in die Hände spielen, bevor die Lücke nicht bei der Mehrheit der Nutzer geschlossen sei, heißt es dazu.

Mit dem Update für Chrome auf Version 114.0.5735.106 für Mac und Linux und Version 114.0.5735.110 für Windows gilt die Lücke und eine weitere als geschlossen.

Der Beitrag Exploit: Google schließt Zero-Day-Lücke in Chrome erschien zuerst auf Linux-Magazin.

Mit einem Update für seinen Chrome-Browser reagiert Google auf die Entdeckung von Sicherheitslücken. Drei davon sind von externen Security-Experten gemeldet worden.

Erneut ist die JavaScript-Engine V8 des Browsers an einem der mit hohem Risiko bewerteten Probleme beteiligt. Es handle sich dabei um ein Type-Confusion-Problem, heißt es in der Mitteilung von Google. Entdeckt hat die Lücke Yue Mo vom GitHub Security Lab. Google hat dafür eine Belohnung von 20.000 US-Dollar aus seinem Bug-Bounty-Topf gezahlt.

Bei den weiteren beiden Lücken, die von Externen gemeldet wurden, handelt es sich um Use-after-Free-Probleme in den Browser-Komponenten Media und GuestView.

Die Chrome-Versionen 114.0.5735.198 für Mac und Linux und 114.0.5735.198/199 für Windows beseitigen die Probleme.

Der Beitrag Kritische Lücken in Google Chrome erschien zuerst auf Linux-Magazin.

Mit der Version 115 des Browsers Firefox hat Mozilla das Hardware-Video-Decoding für Intel GPUs unter Linux eingeführt.

Benutzer ohne Plattformunterstützung für die H264-Videodekodierung können nun für die Wiedergabe auf das OpenH264-Plugin von Cisco zurückgreifen.

Zudem lassen sich beim Umstieg von Chrome jetzt Zahlungsmethoden, die in Chrome-basierten Browsern gespeichert waren, in Firefox übernehmen. Und die Entwickler haben die Benutzeroberfläche für den Import von Daten aus anderen Browsern überarbeitet und optimiert.

Unter Linux öffnet ein mittlerer Klick auf die Schaltfläche “Neue Registerkarte” jetzt den Inhalt des xclipboard in der neuen Registerkarte. Wenn der xclipboard-Inhalt eine URL ist, wird diese URL geöffnet, jeder andere Text wird mit Ihrem Standard-Suchanbieter geöffnet, heißt es in den Release Notes.

Web-Entwickler finden eine neue Option, Bibliotheken von Drittanbietern, die beim Debuggen nicht interessieren, zu ignorieren. Ignorieren bedeute, dass Breakpoints nicht angefahren werden und sie beim Stepping übersprungen werden. Man könne nun auch wählen, ob Quellen, die in der Ignorierliste aufgeführt sind, im Quellbaum der Entwicklertools ausgeblendet werden sollen.

Der Beitrag Firefox 115 bringt Hardware-Decoding unter Linux erschien zuerst auf Linux-Magazin.

Die schlanken Distributionen 4MLinux und TheSSS liegen in neuen stabilen Versionen vor. Erstmals an Bord von 4MLinux sind SoundFonts für die Audio-Anwendung FluidSynth sowie der Rastergrafikeditor mtPaint.

In den Repositories warten zudem die proprietären Browser Google Chrome, Microsoft Edge und Opera als sogenannte Extensions auf ihre Installation. Ebenfalls hinzu holen lassen sich verschiedene Java-basierte Spiele, wie etwa Flappy Bird. Der Medien-Player XMMS spielt neben AVC/HEVC-Videos auch zahlreiche ältere Dateiformate aus den 1980er- und 1990er-Jahren ab, die unter anderem auf dem Commodore Amiga oder Atari ST gängig waren.

Viele mitgelieferte Softwarepakete liegen in neuen Versionen bei. Bei der Büroarbeit hilft in 4MLinux 43.0 jetzt LibreOffice 7.5.5, ins Internet gehen Firefox 115.0.2 und Chrome 115.0.5790.110. Ebenfalls an Bord ist Thunderbird 115.0.1. Windows-Programme zündet Wine 8.12. Als Skriptsprachen stehen Perl 5.36.0, Python 3.11.3 und Ruby 3.1.4 zur Verfügung.

Wer einen Server betreibt, erhält Apache 2.4.57 und MariaDB 10.6.14. PHP steht in den Versionen 5.6.40, 7.4.33 und 8.1.19 zur Wahl. Diese Softwarepakete bilden zudem die Grundlage der Mini-Server-Distribution TheSSS. Bei ihr handelt es sich um eine maßgeschneiderte Variante von 4MLinux für den Server-Betrieb. Beide Distributionen verwenden den Linux-Kernel 6.1.33.

Der Beitrag 4MLinux und TheSSS frischen Softwarepakete auf erschien zuerst auf Linux-Magazin.

Google will seinen Webbrowser Chrome besser absichern. Ab Chrome 117 weise der Browser seine Nutzer proaktiv darauf hin, wenn eine von ihnen installierte Erweiterung nicht mehr im Chrome Web Store verfügbar ist.

Diese Aktion hängt damit zusammen, das Google Malware sofort bei Entdeckung aus dem Webstore entfernt. Wenn eine Erweiterung für den Browser also nicht mehr im Webstore vorhanden sei, berichtet Google in einem Blogbeitrag, seien nur drei Szenarien vorstellbar. Das erste sei, dass der Entwickler die Erweiterung selbst zurückgezogen hat, das zweite sei, dass die Erweiterung gegen die Richtlinien von Google verstoßen habe und das dritte eben, dass die Browsererweiterung als Schadsoftware enttarnt worden sei. Alle Szenarien seien dafür geeignet, den Nutzer zu informieren, mehr Sicherheit verspreche insbesondere das letzte, die Entdeckung von Malware in der Erweiterung.

In den Einstellungen des Browsers unter “Datenschutz und Sicherheit” sehen Anwender dann unter “Sicherheitscheck” einen Verweis auf aus dem Chrome Web Store entfernte Erweiterungen, die lokal noch installiert sind. Wenn ein Nutzer auf “Überprüfen” klicke, werde er zu seinen Erweiterungen weitergeleitet und habet die Wahl, entweder die Erweiterung zu entfernen oder die Warnung auszublenden, wenn er die Erweiterung installiert lassen möchte. Wie in früheren Versionen von Chrome werden Erweiterungen, die als Malware markiert sind, automatisch deaktiviert, heißt es im Beitrag.

Der Beitrag Google Chrome 117 warnt vor verdächtigen Erweiterungen erschien zuerst auf Linux-Magazin.

Google hat seinen Chrome Browser in neuer Version veröffentlicht, die insgesamt fünf Sicherheitslücken schließt. Von denen stuft Google vier als hochkritisch ein.

Zu den Sicherheitsproblemen mit hochkritischer Einstufung zählt eine Use-after-free-Lücke in Vulcan (CVE-2023-4430). Eine weitere hochkritische Use-after-free-Lücke betrifft den Loader (CVE-2023-4429).

Ein weiteres Problem betrifft die CSS-Abarbeitung, die einen Zugriff außerhalb der Speichergrenzen ermöglicht. Auch das Sicherheitsrisiko dieses Problems ist mit “High” eingestuft. Eine Sicherheitslücke des gleichen Musters betrifft auch V8, die JavaScript-Engine des Browsers. Die Versionen von Chrome 116.0.5845.110 für die unterschiedlichen Plattformen schließen die Lücken.

Aufgrund der schwerwiegenden Probleme ist ein Update des Browsers angebracht. Dies sollte in der Regel automatisch über die Aktualisierungsverwaltung gehen. Google hat zudem kürzere Aktualisierungsintervalle angekündigt. Der Browser soll dann wöchentlich Updates erhalten.

Der Beitrag Update für Chrome schließt riskante Lücken erschien zuerst auf Linux-Magazin.

Mit den neuen Versionen 116.0.5845.187 für Mac und Linux sowie 116.0.5845.187/.188 für Windows schließt das neue Release von Googles Browser Chrome eine kritische Sicherheitslücke.

Dabei handelt es sich laut dem knappen Statement dazu um einen Heap Buffer Overflow in WebP.  Google gibt außerdem bekannt, dass es für das Sicherheitsproblem mit der Kennung CVE-2023-4863 bereits einen Exploit gibt, der auf freier Wildbahn kursiert.

Daneben hat Google auch Chrome 117 (117.0.5938.60) für Android freigegeben. Der mobile Brtowser komme derzeit für einen kleinen Prozentsatz der Nutzer und werde in den nächsten Tagen auf Google Play verfügbar sein. Die Android-Version des Browsers enthalte dieselben Updates und Sicherheitsfixes wie die Desktop-Variante.

Der Beitrag Google Chrome schließt Sicherheitslücke erschien zuerst auf Linux-Magazin.

Zu alt, kaum oder falsch genutzt und ein großes Sicherheitsrisiko, schreiben die Chrome-Entwickler über den wohl ersten freien Videocodec fürs Web.

Googles Chrome-Entwicklungsteam hat angekündigt, die Unterstützung für den freien Videocodec Theora aus dem Browser entfernen zu wollen. Sollte diese Idee umgesetzt werden, wäre es das Ende des wohl ersten freien und breit verfügbaren Videocodecs für das Web. Das Chrome-Team nennt als Grund für das Entfernen des Codecs die wachsende Gefahr durch Sicherheitslücken im Zusammenhang mit Theora.

Das bezieht sich wohl vor allem auf die prinzipielle Beobachtung, dass nicht nur Zero-Day-Angriffe immer häufiger werden, sondern diese oft speziell Lücken in Mediencodecs ausnutzen. Weiter heißt es zur Begründung: “Theoras geringe (und inzwischen oft falsche) Nutzung rechtfertigt für die meisten Benutzer nicht mehr die Unterstützung. (…) Die Nutzung ist unter ein messbares Niveau im UKM gefallen. Die Websites, die wir manuell überprüft haben, bevor die Werte abfielen, bevorzugten fälschlicherweise Theora gegenüber moderneren Codecs wie VP9.”

Die Geschichte von Theora reicht dabei sehr weit zurück. Bereits vor mehr als 20 Jahren entschied sich das Unternehmen On2 Technologies, gemeinsam mit der Xiph-Foundation den Codec VP3 als offenes Theora weiterzuentwickeln. Breit durchsetzen, vor allem bei kommerziellen Anbietern, konnte sich Theora aber nie. Das zeigte sich etwa an der Diskussion um die Standardisierung des Videoelements in HTML5. Viele Unternehmen bevorzugten weiter H.264.

Erst einige Jahre später übernahm Google On2, legte den Codec VP8 offen und entwickelte kurz darauf VP9. Doch auch VP9 konnte sich außerhalb einiger prominenter Anwendungen wie Youtube oder Netflix in der Breite kaum durchsetzen. Mit dem freien Videocodec AV1, der auch als Nachfolger von VP9 gilt, ändert sich dies nun wohl aber. Eine Notwendigkeit für den Theora-Support im Browser gibt es damit schon lange nicht mehr.

In Safari oder Chrome für Android wurde der Codec nie unterstützt und laut Google erwägt auch Mozilla, den Theora-Support im Firefox zu entfernen. Der aktuelle Plan sieht vor, Theora bis Februar 2024 komplett aus Chrome zu entfernen. Support für den Codec steht danach wohl aber noch über eine Javascript-Bibliothek bereit.

Der Beitrag Freier Videocodec: Chrome will Theora entfernen erschien zuerst auf Linux-Magazin.