Amazon, Microsoft, Google und andere wollen das Problem der IT-Security vor allem mit Geld lösen. 30 Millionen US-Dollar dafür stehen schon.

Mit dem Kollaborationsprojekt der Open Source Security Foundation (OpenSSF) wollen Größen der IT-Industrie ihre Security-Praxis vereinheitlichen und so die Open-Source-Welt besser absichern. Ein dafür vorgestellter Zehn-Punkte-Plan der OpenSSF soll im Laufe der kommenden zwei Jahre eine Finanzierungssumme von etwa 150 Millionen US-Dollar dafür umfassen, wie die Organisation mitteilt.

Eine erste Tranche der geplanten Summe stammt dabei von frühen Unterstützern der OpenSSF. Dazu zählen laut Ankündigung Amazon, Ericsson, Google, Intel, Microsoft, und VMware, die dafür zunächst gemeinsam 30 Millionen US-Dollar bereitstellen wollen. Dazu heißt es weiter: “Im Zuge der weiteren Entwicklung des Plans werden weitere Finanzmittel ermittelt, und die Arbeit wird in dem Maße beginnen, wie die einzelnen Finanzströme vereinbart werden.”

Zu den Maßnahmen des Zehn-Punkte-Plans gehören unter anderem eine bessere Ausbildung für die Security, der Aufbau einer Risiko-Analyse für Tausende Open-Source-Komponenten, das Ausrollen digitaler Signaturen für Veröffentlichungen sowie der Ersatz bestehender Komponenten in einer Sprache mit Speichersicherheit. Letzteres wird derzeit bereits von Google vorangetrieben, etwa über ein Rust-Modul für den Apache-Webserver, Rustls oder Rust im Linux-Kernel.

Die OpenSSF setzt außerdem auf Code-Scanning oder das Absichern der sogenannten Software-Supply-Chain, was Paketmanager wie NPM umfasst. Ein großer Teil der Arbeiten wird dabei nicht von der Organisation selbst umgesetzt, sondern von deren Mitgliedsunternehmen. So hat Google eine Open Source Maintenance Crew angekündigt, die gemeinsam mit den Upstream-Projekten an deren Sicherheit arbeiten soll.

Der Beitrag OpenSSF: 150 Millionen US-Dollar sollen Open Source absichern erschien zuerst auf Linux-Magazin.

Mit dem Update des Chrome-Browsers auf Version 03.0.5060.53 hat Google Sicherheitslücken geschlossen, darunter eine als kritisch eingestufte.

14 Sicherheitsprobleme weniger weist der Chrome-Browser für den Desktop in der aktuellen Version auf. Die kritische Lücke wird als Use after free in Base bezeichnet. Nähere Informationen dazu gibt es nicht. Googles Project Zero hat die Lücke entdeckt. Lücken mit hohem Risiko stecken auch in den Komponenten Interest Groups und der V8-JavaScript-Engine. Letztere ist immer wieder Schauplatz von Sicherheitsproblemen. Dieses Mal sei ein Type-Confusion-Problem aufgetreten.

Weitere aufgeführte Sicherheitslücken sind mit mittlerer bis niedriger Gefährdung gekennzeichnet. Bei vier weiteren Lücken nennt Google weder Details noch Gefährungsgrad.

Der Beitrag Chrome-Update schließt viele Lücken erschien zuerst auf Linux-Magazin.

Die Wikimedia Foundation hat bekannt gegeben, dass Google einer der ersten Kunden des kommerziellen Angebots Wikimedia Enterprise ist. Mit der Enterprise-Lösung bietet die Stiftung hinter der Wikipedia Enzyklopädie eine Möglichkeit, für die Nutzung der Wikipedia-Inhalte zu zahlen.

Google und die Wikimedia Foundation haben bei einer Reihe von Projekten und Initiativen zusammengearbeitet, um die Verbreitung von Wissen in der Welt zu verbessern, teilt die Wikimedia Foundation mit. Inhalte aus den Wikimedia-Projekten seien bei Google etwa in den Knowledge-Panels zu sehen. Zu den finanziellen Details gibt es keine Angaben.

Neben Google ist auch das gemeinnützige Internet Archive als Kunde genannt. Die Wayback-Maschine des Internet Archive sei bereits verwendet worden, um mehr als 9 Millionen defekte Links auf Wikipedia zu reparieren. Wikimedia Enterprise sei für die gemeinnützige Organisation kostenlos, teilt die Foundation mit.

Für Wikimedia Enterprise ist ab sofort auch ein kostenloses Testkonto für neue Benutzer im Angebot. Es soll Interessenten helfen an, ihre Bedürfnisse mit dem Produkt besser einschätzen zu können, heißt es in der Ankündigung der Wikimedia Foundation.

Wie berichtet bietet Wikimedia Enterprise Kunden Service Level Agreements an, einschließlich garantierter Betriebszeit, Kundendienst und effizienterem Zugang zu Wikimedia-Inhalten über eine Reihe neuer APIs, die speziell für die Wiederverwendung von Inhalten entwickelt worden sind.

Der Beitrag Google zahlt für Wikipedia-Nutzung erschien zuerst auf Linux-Magazin.

Mit einem Update für den Chrome-Brwoser schließt Google unter anderem auch mehrere Sicherheitslücken. Eine davon werde bereits aktiv ausgenutzt, heißt es in der Mitteilung.

Das mit hohem Risiko eingestufte Sicherheitsproblem mit der CVE-2022-2294 steckt in der Komponente WebRTC (Web Real-Time Communication) des Browsers. Dort könne es unter Umständen zu einem Heap-Buffer-Overflow kommen, der sich ausnutzen lasse. Für diese Lücke existiere ein Exploit, der bereits im Umlauf sei, schreibt Google.

Eine weitere Sicherheitslücke, ebenfalls mit hohem Risiko bewertet, steckt in der V8-Engine des Browsers. Die Engine ist für die Abarbeitung von JavaScript und WebAssembly zuständig und regelmäßig unter den Kandidaten für Sicherheitslücken. Und auch die Chrome OS Shell ist von einer Sicherheitslücke betroffen, die das Update schließt.

Neben der Desktop-Version wird auch Chrome für Android aktualisiert. Im mobilen Browser steckt ebenfalls die Lücke in WebRTC und der V8-Engine.

Der Beitrag Google schließt Zero-Day-Lücke in Chrome erschien zuerst auf Linux-Magazin.

Google hat die erste Vollversion des Open-Source-Quantenprogrammier-Frameworks Cirq angekündigt. Cirq 1.0. Cirq sei ein Python-Framework zum Schreiben, Ausführen und Analysieren der Ergebnisse von Quantencomputerprogrammen, teilt Google mit.

Cirg sei für den Einsatz in Verbindung mit Quantencomputer der nahen Zukunft entwickelt worden, die mit einigen hundert Qubits und einigen tausend Quantengattern arbeiten. Mit Version 1.0 sei man nun soweit, dass Cirq die Mehrheit der Arbeitsabläufe für diese Systeme unterstütze und als stabile API betrachtet werden könne.

Den ersten Commit zu Cirq auf GitHub sei im Dezember 2017 erfolgt. Zuvor habe es schon eine interne Version von Cirq bei Google gegeben. Cirq sei dann im Juli 2018 öffentlich angekündigt worden und sei nun um mehr als 3200 Commits im GitHub-Repository gewachsen.

Cirq sei nicht nur für die Forschung geeignet, es sei auch für die Entwicklung von Quantenschach eingesetzt worden, einer Schachvariante, die Überlagerung und Verschränkung nutze.

Im Open-Source-Blog von Google gibt es weitere Informationen und Links.

Der Beitrag Google veröffentlicht Quantenprogrammier-Framework Cirq 1.0 erschien zuerst auf Linux-Magazin.

Der Browser Chrome von Google bekommt ein Update, das insgesamt elf Sicherheitslücken schließt. Fünf davon sind mit hohem Sicherheitsrisiko eingeschätzt.

In den Versionen 103.0.5060.134 für Windows, Mac und Linux sind die Sicherheitsprobleme beseitigt. Vier der mit hohem Risiko behafteten Sicherheitslücken sind wegen einer Use-After-Free-Schwachstelle gefährlich. Mit Use-after-Free ist ein Sicherheitsproblem im Zusammenhang mit der falschen Verwendung von dynamischem Speicher während der Programmausführung gemeint. Wenn ein Programm nach dem Freigeben eines Speicherplatzes den Zeiger auf diesen Speicher nicht löscht, kann ein Angreifer diesen Fehler nutzen, um das Programm zu kompromittieren.

Im Einzelnen stecken die Probleme in der PDF-Komponente, im Guest View in der Service Worker API und in View. Eine weitere riskante Lücke entsteht zudem durch unzureichende Validierung von nicht vertrauenswürdigen Eingaben in File, teilt Google mit. Die neue Version des Browsers soll in den kommenden Tagen bei den Nutzern ankommen.

Der Beitrag Chrome braucht dringend ein Sicherheitsupdate erschien zuerst auf Linux-Magazin.

Google hat seine Google Maps auf den mobilen Geräten um die Funktion 3D Immersive View erweitert. Damit können Nutzer berühmte Sehenswürdigkeiten und ihre Umgebung im Vorbeiflug betrachten.

Mit ungefähr 100 fotorealistische Luftaufnahmen von weltweit beliebten Sehenswürdigkeiten in Städten wie Barcelona, London, New York, San Francisco und Tokio startet Google sei Immersive View. Mehr Aufnahmen sollen laut Google folgen. Google erstellt die 3D-Ansichten dabei nach eigenen Angaben mittels KI aus Milliarden von hochauflösenden Street View-, Satelliten- und Luftbildern.

Immersive View des Empire State Buildings.

Um eine der Luftaufnahme zu sehen, sofern welche verfügbar sind muss man in Google Maps nach einer Miniaturansicht der jeweiligen Sehenswürdigkeit suchen und sie antippen oder klicken. In der dann gezeigten Übersicht erscheint dann eine sich bereits drehende Miniaturansicht der Immersive View. Im Test klappt das bei uns allerdings nur auf dem iPad mit Version 6.28.1 der Google Maps. Unter Android mit Version 11.39.1606 finden wir die Immersive-View-Ansichten auf dem Smartphone nicht. Google plant, die Funktion auszubauen, etwa um Ansichten von Restaurants.

Der Beitrag Google Maps um 3D Immersive View erweitert erschien zuerst auf Linux-Magazin.

Die auch für Tracking genutzten Third-Party-Cookies will Google in Chrome ersetzen. Das soll nun erst in zwei Jahren geschehen.

Seit inzwischen fast drei Jahren arbeitet Google an Techniken, die die bisher für webseitenübergreifendes Tracking genutzten Third-Party-Cookies im Chrome-Browser ersetzen sollen. Die Umsetzung hat Google nun aber erneut verschoben: auf Ende 2024, wie es in einem aktuellen Blogeintrag des Unternehmens heißt.

Bereits im vergangenen Jahr musste Google den Termin verschieben, ursprünglich geplant war die Einführung neuer Technik und die Abschaffung der Third-Party-Cookies eigentlich früh im Jahr 2022. Als Grund für die Verzögerungen nennt das Unternehmen vor allem das Feedback der Web-Community, die sich mehr Zeit zum Testen der neuen alternativen APIs gewünscht habe. Konkret handelt es sich dabei um die Privacy-Sandbox-APIs.

Google selbst räumt aber ein, dass die Verzögerungen auch im Einklang mit Forderungen von Markt- und Kartellwächtern stehe, damit die Industrie genügend Zeit hat, auf die neuen Techniken zu wechseln. Immerhin sammelt Google auch selbst Daten auf Webseiten und vermarktet diese zu Werbezwecken. Eine zu schnelle Einführung der Technik könnte die Konkurrenz massiv benachteiligen. Der Testzeitraum soll entsprechend deutlich vergrößert werden, bevor die Third-Party-Cookies in Chrome wirklich abgeschafft werden.

Zwar könnten Entwickler die Technik schon nutzen, noch im August würden die Versuche damit aber auf “Millionen von Nutzern weltweit” ausgeweitet. Die Anzahl der ausgewählten Nutzer soll dabei bis ins Jahr 2023 hinein kontinuierlich ansteigen. Die Nutzer sollen dabei entscheiden können, ob sie teilnehmen wollen oder nicht, und werden darüber über ein gesondertes Fenster informiert.

Im dritten Quartal 2023 sollen die APIs dann weltweit an alle Chrome-Verwender verteilt werden und standardmäßig in Chrome verfügbar sein. In der zweiten Hälfte des Jahres 2024 erst soll die Unterstützung für Third-Party-Cookies auslaufen.

Der Beitrag Google verschiebt Ende von Third-Party-Cookies erschien zuerst auf Linux-Magazin.

Freie Chip-Designs können dank Google künftig auch kostenfrei bei Globalfoundries gefertigt werden. Genutzt wird dafür aber alte Technik.

Google hat seine Initiative zur kostenfreien Herstellung von Chips mit einem offenen Design um einen wichtigen Partner erweitert: Globalfoundries. Das Unternehmen gehört zu den größten Auftragsfertigern in der Halbleiterindustrie, was entsprechende Kapazitäten für die Initiative bedeutet. Darüber hinaus produziert Globalfoundries in Deutschland und in den USA, was eventuell Tests der hergestellten Chips erleichtert.

Der Ankündigung zufolge veröffentlichen nun beide Unternehmen gemeinsam ein sogenanntes Process Design Kit (PDK) für die 180MCU-Technologie unter der Apache-2.0-Lizenz. Damit können die eigentlichen Chips passgenau auf den von Globalfoundries genutzten Herstellungsprozess entworfen werden. Damit einher gehe explizit eine kostenfreie Herstellung von Open-Source-Designs der Efabless-Platform. Dank der freien Verfügbarkeit des PDK könnten bestehende EDA-Werkzeuge für das eigentliche Chip-Design leicht den Prozess von Globalfoundries unterstützten. Ebenso könnten bereits vorhandene IP-Blöcke auf den Prozess portiert werden.

Die für das Programm bei Globalfoundries nun bereitstehende 180nm-Strukturbreite ist im historischen Vergleich eher alt und kommt seit mehr als 20 Jahren zum Einsatz. Der Markt für damit gefertigte Chips werde jedoch in den kommenden Jahren von mehr als 16 Millionen Wafern auf über 22 Millionen steigen, so Globalfoundries. Weiter heißt es in der Ankündigung: “Der 180-nm-Anwendungsbereich verzeichnet weiterhin eine starke Marktdynamik bei Motorcontrollern, RFID, Allzweck-MCUs und PMICs sowie bei neuen Anwendungen wie IoT-Sensoren, Zweifrequenz-RFID und Motorantrieb.”

Google schreibt zu der Kooperation mit Globalfoundries: “Basierend auf dem Umfang und der Breite der Technologie- und Fertigungskompetenz von Globalfoundries erwarten wir, dass wir gemeinsam mehr tun werden, um den Zugang und die Innovation in der Halbleiterentwicklung und -fertigung zu fördern.” Über die Kooperation mit dem ersten Partner des Google-Programms, Skywater, konnten bereits 350 Designs eingereicht werden, von denen letztlich 240 gefertigt worden seien, so Google.

Der Beitrag Globalfoundries tritt Open-Source-Chip-Initiative bei erschien zuerst auf Linux-Magazin.

Den Messenger Threema gibt es nun in einer Libre-Variante, bei der jede Zeile Code eingesehen und die App über F-Droid bezogen werden kann.

Mit Threema Libre gibt es den Schweizer Messenger Threema nun in einer Variante, die komplett auf Open-Source-Software setzt. Diese kann über den alternativen App Store F-Droid bezogen werden.

“In Threema Libre gibt es keine einzige Zeile Code, die eine proprietäre Softwarebibliothek von Google oder anderen Drittanbietern voraussetzt”, erklärt Threema in einem Blogeintrag. So komme beispielsweise zur Benachrichtigung ausschließlich Threema Push zum Einsatz, und ein Fallback auf Googles Push-Dienst sei von vornherein unmöglich.

Um Threema Libre zu installieren, muss ein F-Droid-Client auf dem Smartphone vorhanden sein, dem Threemas F-Droid-Repository hinzugefügt werden muss. Eine entsprechende URL sowie einen QR-Code zum Scannen sind in einem FAQ-Beitrag auf der Threema-Webseite zu finden. Bei Threema Libre handelt es sich um eine eigenständige App, die zusätzlich zu dem normalen Threema-Client installiert werden kann. Um die Messenger-Apps zu nutzen, muss eine Lizenz für einmalig 5 Euro erworben werden.

Der komplette Code von Threema Libre ist öffentlich einsehbar. Dass die von Threema verteilten Pakete auch dem veröffentlichten Code entsprechen, soll mittels Reproducible Builds überprüft werden können.

Anfang des Jahres wurde bereits Threema Push in den Messenger integriert. Dabei handelt es sich um eine Threema-eigene Alternative zu Googles Push-Dienst, über den standardmäßig Push-Benachrichtigungen, beispielsweise bei neuen Nachrichten, versendet werden. Inhalte werden über Googles Push-Dienst jedoch nicht übertragen, wie Threema betont. Mit Threema Push soll es möglich sein, den Messenger “ohne Google-Dienste zu verwenden und dabei die volle Funktionalität und Benutzerfreundlichkeit beizubehalten.”

Auch vor der Einführung von Threema Push war es bereits möglich, den Messenger auf einem Google-freien Smartphone zu verwenden. Um neue Nachrichten zu erhalten, kontaktiert der Messenger dafür in regelmäßigen Abständen den Server (Polling). Dabei kann es jedoch zu Verzögerungen bei der Zustellung kommen, wenn die App im Hintergrund läuft. Zudem ist ein höherer Akku-Verbrauch möglich.

Der Beitrag Threema veröffentlicht Google-freie Open-Source-Version erschien zuerst auf Linux-Magazin.

Google Maps wird in Deutschland um eine Funktion ergänzt, die kraftstoffsparende Routen anzeigt. Damit sehen Nutzer neben der schnellsten Route auch die kraftstoffsparendste Route, falls diese nicht bereits die schnellste ist, teilt Google mit.

Auf einen Blick lasse sich so die relative Kraftstoffersparnis und der Unterschied in der geschätzten Ankunftszeit zwischen den Routen sehen. Die Funktion beziehe neben der Streckenlänge auch weitere Faktoren wie die Straßenneigung und Verkehrsstaus in die Berechnung ein. Die Funktion „Kraftstoffsparende Routen“ werde ab sofort in Deutschland eingeführt und stehen in den kommenden Wochen allen Google Maps-Nutzern in iOS und Android zur Verfügung.

Mit dem Start von kraftstoffsparenden Routen in Deutschland werde man in einem Pilotversuch auch die Möglichkeit einführen, dass Nutzer den Motortyp angeben können. Die Auswahl laute dabei auf Benzin, Diesel, Hybrid oder elektrischer Antrieb. Damit soll sich die kraftstoffsparende Routenführung weiter optimiert lassen, da die prozentualen Einsparungen und die empfohlene Route je nach Fahrzeugmotor variieren könne.

In den USA und Kanada hat Google die Funktion bereits eingeführt. Dank des Einsatzes von künstlicher Intelligenz und Erkenntnissen des National Renewable Energy Laboratory (NREL) des US-Energieministeriums, schätzen wir, dass kraftstoffsparende Routen auf Google Maps das Potenzial haben, global über eine Million Tonnen CO2-Emissionen pro Jahr zu vermeiden, schreibt Timo Rang Partner Manager im Google-Blog.

Der Beitrag Google Maps zeigt spritsparende Routen erschien zuerst auf Linux-Magazin.

Google hat die Version 13 seines mobilen Betriebssystems Android veröffentlicht. Die neue Ausgabe verspricht mehr Sicherheit.

Letzteres geht Google damit an, dass die Zwischenablage nun automatisch nach einiger Zeit gelöscht wird, sollten dort sensible Daten wie Adressen, Telefonnummern oder Logins gespeichert sein, die zuvor kopiert wurden. Zudem verbietet es Android 13, dass Apps Benachrichtigungen verschicken, die nicht ausdrücklich vom Nutzer nach der Installation erlaubt wurden.

Neu ist auch, dass der Anwender bestimmte Fotos und Videos für die Nutzung in anderen Apps freigeben kann. Apps haben damit auf nicht freigegebene Fotos und Videos keinen Zugriff.

Optisch kommt Android 13 in einer weiterentwickelten Version des Material-You-Designs. Dessen Farbschemata lassen sich nun auch auf Apps von Drittanbietern anwenden. Zudem lassen sich einzelnen Apps nun eine zweite Systemsprache zuweisen.

Android 13 gestattet es zudem, dass Nutzer mit passenden Kopfhörern Spatial Audio wählen können, das einen Raumklang simuliert. Android 13 unterstützt auch Bluetooth LE.

Wie gewohnt spielt Google Android 13 zuerst auf die eigenen Pixel-Smartphones ab dem Pixel 4 auf. Es folgen dann andere Hersteller. In welchem Tempo Nutzer Android 13 bekommen, hängt dann auch von denen ab.

Android 13 bietet einen aktualisierten Media Player, der sein Aussehen und seine Bedienung an die Musik anpasst, die gerade läuft. Der Media Player zeigt das Albumcover an und hat eine Wiedergabeleiste, die während des Songs tanzt, teilt Google mit.

Der Beitrag Google hat Android 13 fertig erschien zuerst auf Linux-Magazin.

Insgesamt werden mit den neuen Versionen 104.0.5112.101 für Linux und Mac sowie 104.0.5112.101/102 von Google Chrome für Windows elf Sicherheitslücken beseitigt. Für eine gibt es bereits einen Exploit in freier Wildbahn.

Google sei bekannt, dass es einen Exploit für das Problem mit der Nummer CVE-2022-2856 in freier Wildbahn gebe, heißt es in der Mitteilung zur neuen Version von Chrome. Die Lücke entstehe durch eine unzureichende Validierung von nicht vertrauenswürdigen Eingaben in Intents, heißt es weiter. Die Sicherheitslücke hat Google mit dem Attribut hohes Risiko versehen. In dieser Klasse gibt es weitere sechs Probleme, die das Update beseitigt. Lediglich eine Lücke ist als kritisch eingestuft. Sie ensthet durch einen Use-after-free-Fehler in der FedCM-Komponente. Die Federated Credential Management API (FedCM) ermöglicht es Benutzern, sich mit ihren föderierten Konten auf Websites anzumelden, wobei der Datenschutz gewahrt bleiben soll. Da Google keine weitere Beschreibung der Lücke liefert, ist nicht abzusehen, welches Ausmaß der Fehler hat. In der Ankündigung sind weitere Lücken aufgezählt.

Der Beitrag Update für Google Chrome beseitigt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Google hat nach eigenen Angaben den bisher größten HTTPS-basierten DDoS-Angriff (Distributed Denial of Service) mit Spitzenwerten von 46 Millionen Anfragen pro Sekunde abgewehrt. Der Angriff soll demnach bereits im Juni stattgefunden haben. Bei DDoS-Attacken versuchen die Angreifer Dienste beziehungsweise Server mit Anfragen zu überhäufen, bis sie unter der Last zusammenbrechen.

Der Angriff soll noch einmal 76 Prozent umfangreicher gewesen sein, als der zuvor größte DDoS-Angriff, der ebenfalls im Juni von Cloudflare blockiert wurde. Zuerst hatte das Onlinemagazin The Register berichtet.

“Das ist so, als würde man alle täglichen Anfragen an Wikipedia (eine der 10 meistbesuchten Websites der Welt) in nur 10 Sekunden erhalten”, erklären die Google-Entwickler Emil Kiner und Satya Konduru in einem Blogeintrag. Demnach zielte der Angriff auf einen HTTP/S-Load-Balancer eines Kunden ab und begann mit rund 10.000 Anfragen pro Sekunde, steigerte sich innerhalb von acht Minuten auf 100.000 und wuchs weitere zwei Minuten später auf die besagten 46 Millionen Anfragen pro Sekunde.

Zu diesem Zeitpunkt hatte Google den Angriff bereits erkannt und warnte den Kunden mitsamt einer Angriffssignatur und eine vorgeschlagenen Blockierregel. Diese aktivierte der Kunde umgehend und der Angriff wurde deutlich abgeschwächt. “Vermutlich stellte der Angreifer fest, dass er nicht die gewünschte Wirkung erzielte, obwohl er erhebliche Kosten für die Durchführung des Angriffs auf sich genommen hatte”, schreiben Kiner und Konduru. Nach insgesamt 69 Minuten war die DDoS-Attacke wieder vorbei.

Verantwortlich für den Angriff soll das Mēris-Botnetzwerk sein. Insgesamt sollen 5236 IP-Adressen aus 132 Ländern an der Attacke beteiligt gewesen sein. Etwa 20 Prozent der IP-Adressen seien Exit-Nodes aus dem Tor-Netzwerk gewesen, erklärt Google. Insgesamt seien zu Spitzenzeiten jedoch nur 1,3 Millionen Anfragen pro Minute aus dem Tor-Netzwerk gekommen, was rund drei Prozent des Angriffsvolumens entspreche. Wie bei dem letzten Rekord-DDoS-Angriff zielte auch dieser auf HTTPS-Anfragen, die bei einem Verbindungsaufbau erhöhte Rechenkapazitäten verursachen sollen.

Der Beitrag Google blockiert Rekord-DDoS-Angriff erschien zuerst auf Linux-Magazin.

Mit seiner Datenschutzorganisation Noyb hat der österreichische Datenschutzaktivist Max Schrems Beschwerde gegen Werbemails von Google eingelegt. Diese würden gegen die E-Privacy-Richtlinie verstoßen, so Noyb.

Die Beschwerde hat die Organisation Noyb bei der französischen Datenschutzbehörde CNIL eingereicht. Der Vorwurf lautet, dass Google ohne Einwilligung Werbemails verschicke. Die Mails tauchten dann im Postfach auf und seien mit dem Wort Werbung vor der Betreffzeile bestückt. Für den Empfang dieser Mail habe man aber kleine Zustimmung gegeben. Dies verstoße gegen Artikel 13 der E-Privacy-Richtlinie der besage, dass die Verwendung von elektronischer Post für die Zwecke der Direktwerbung nur bei Teilnehmern zulässig sei, die zuvor ihre Einwilligung gegeben hätten. Ähnlich heiße es in Artikel L34-5 des französischen Code des postes et des communications électroniques CPCE: “Direktwerbung mittels eines automatisierten elektronischen Kommunikationssystems […], eines Faxgeräts oder elektronischer Post unter Verwendung der Kontaktdaten einer natürlichen Person, eines Teilnehmers oder Nutzers, die nicht zuvor ihre Einwilligung zum Erhalt von Direktwerbung auf diesem Wege gegeben hat, ist verboten.”

Noyb verweist zudem auf ein Urteil des Europäischen Gerichtshofs das ebenfalls auf die Zustimmung zu solchen Mails abhebt und sie anderenfalls verbietet. “Der Gerichtshof war in dieser Angelegenheit ziemlich eindeutig: Wenn es wie eine E-Mail aussieht, wie eine E-Mail riecht, dann ist es eine E-Mail. Es scheint, dass Google dies ignoriert und weiterhin Spam an seine eigenen Nutzer sendet.” – Eliška Andrš, Rechtsreferendarin bei Noyb.

Der Beitrag Schrems geht gegen Googles Werbemails vor erschien zuerst auf Linux-Magazin.

Mit dem Open Source Software Vulnerability Rewards Program (OSS VRP) hat Google sein Bug-Bounty-Programm auf Sicherheitslücken in den Open-Source-Projekten mit eigener Beteiligung erweitert.

Als Verwalter wichtiger Projekte wie Golang, Angular und Fuchsia zähle Google zu den größten Mitwirkenden und Nutzern von Open Source weltweit, schreibt Francis Perron, Open Source Security Technical Program Manager von Google in einem Blogbeitrag.

Mit der Aufnahme von Googles OSS VRP in das Vulnerability Reward Programs (VRP) könne man nun das Auffinden von Fehlern belohnen, die sich möglicherweise auf das gesamte Open-Source-Ökosystem auswirken können, so der Manager weiter.

Das ursprüngliche VRP-Programm nähere sich seinem 12-jährigen Jubiläum. Im Laufe der Zeit habe man die VRP-Reihe neben eigener Software um Programme für Chrome, Android und andere Bereiche erweitert. Insgesamt seien im Rahmen dieser Programme mehr als 13.000 Einreichungen mit einer Gesamtsumme von über 38 Millionen Dollar belohnt worden, heißt es im Blogbeitrag.

Das Programm bezieht sich laut Google auf alle aktuellen Versionen von Open-Source-Software, die in den öffentlichen GitHub-Repositories von Google gespeichert seien, dazu zählten etwa die Verzeichnisse Google, GoogleAPIs und GoogleCloudPlatform.

Die höchsten Belohnungen sollen zunächst für Sicherheitslücken vergeben werden, die in den sensibelsten Projekten gefunden werden, teilt Google mit. Dazu zähle man Bazel, Angular, Golang, Protokollpuffer und Fuchsia. Diese Liste solle dann erweitert werden. Im Blogbeitrag sind die Teilnahmebedingungen erläutert.

Der Beitrag Google startet Open Source Software Vulnerability Rewards Program erschien zuerst auf Linux-Magazin.

Mit den Browserversionen Chrome 105.0.5195.52 für Mac OS und Linux und 105.0.5195.52/53/54 für Windows beseitigt Google eine ganze Reihe von Sicherheitslücken.

Eine davon, ein „Use after free“-Fehler in den Network Services gilt als kritisch. 20 weitere Probleme sind wahlweise als mit hohem oder mittlerem Risiko eingestuft. Drei Lücken haben ein geringes Schadpotenzial. Wie üblich gibt Google keine Details zu den Problemen bekannt, um Angreifer nicht weiter zu informieren

Google weist zudem darauf hin, dass viele der aufgelisteten Sicherheitsprobleme mit AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer oder AFL entdeckt worden seien.

Der Beitrag Sicherheitsupdate für Chrome beseitigt Lücken erschien zuerst auf Linux-Magazin.

Der Browser Chrome von Google braucht ein Update, das eine Sicherheitslücke schließt. Für diese Lücke existiert bereits ein Exploit, lässt Google wissen.

Entsprechende Meldungen habe man bekommen, heißt es im Chrome-Blog. Bei dem Sicherheitsproblem selbst handelt es sich um einen Fehler im IPC-System Mojo. Dort werden Eingaben nicht ausreichend geprüft, heißt es im Beitrag. Weitere Informationen hält Google zurück, um nicht weitere potenzielle Angreifer damit zu versorgen. Es ist also nicht nachvollziehbar, welche Auswirkungen ein erfolgreicher Exploit nach sich zieht.

Google stellt mit den Versionen 105.0.5195.102 für Windows, Mac und Linux gepatchte Ausgaben des Browsers bereit.

Der Beitrag Chrome braucht Update gegen Exploit erschien zuerst auf Linux-Magazin.

Das National Institute of Standards and Technology (NIST) des US-Handelsministeriums hat mit Google einen Kooperationsvertrag unterzeichnet, um Chips zu entwickeln und zu produzieren. Die Designs der Chips sind dann Open Source und sollen Forschern zur Entwicklung neuer Nanotechnologie- und Halbleitergeräte dienen.

Wie das NIST mitteilt, werden die Chips von SkyWater Technology in Minnesota hergestellt. Google trage die anfänglichen Kosten für den Aufbau der Produktion übernehmen und den ersten Produktionslauf. Das NIST wiederum entwickle in Zusammenarbeit mit Universitäten die Schaltkreise für die Chips, teilt das Institut mit. Die Schaltkreisentwürfe stünden dann als Open Source zur Verfügung. Forscher an Hochschulen und in kleinen Unternehmen sollen sie ohne Einschränkungen oder Lizenzgebühren nutzen können.

Große Unternehmen, die Halbleiter entwickeln und herstellen, hätten oft leichten Zugang zu diesen Chips. Da die Kosten jedoch in die Hunderttausende Dollar gehen, stellten sie eine große Hürde für die Innovation von Forschern an Universitäten und in Start-ups dar, heißt es weiter. Diese Hürde soll das Programm beseitigen.

Nist und Google informieren am 20. und 21. September bei einem Workshop zu den Plänen. Informationen  zur Anmeldung finden sich auf der NIST-Website.

Der Beitrag Open-Source-Chips von Google und NIST erschien zuerst auf Linux-Magazin.

Trotz der Einstellung, Verbindungen ohne VPN zu blockieren, nimmt Android diese für Verbindungsprüfungen auf. Google verteidigt das Verhalten.

Der kommerzielle VPN-Anbieter Mullvad berichtet in seinem Blog von einem unerwarteten Verhalten von VPN-Verbindungen unter Android. Demnach senden die Geräte unter bestimmten Umständen Teile des Netzwerkverkehrs auch dann an dem VPN vorbei, wenn die Option Verbindungen ohne VPN blockieren in den Einstellungen ausgewählt ist.

Dem Team von Mullvad sei dies bei einem Audit aufgefallen, dessen Ergebnisse noch veröffentlicht werden sollen. Im Blog des Anbieters heißt es: “Wir verstehen, warum das Android-System diesen Datenverkehr standardmäßig senden möchte. Wenn es beispielsweise ein Captive-Portal im Netzwerk gibt, ist die Verbindung unbrauchbar, bis sich der Benutzer dort angemeldet hat. Daher möchten die meisten Benutzer, dass die Captive-Portal-Prüfung durchgeführt wird und ihnen erlaubt wird, das Portal anzuzeigen und zu verwenden.”

Der damit verbundene Netzwerkverkehr könne je nach Bedrohungsszenario aber ein Datenschutzproblem sein. Mullvad hat dies auch im Android-Bugtracker beschrieben und fordert doch eine Änderung der Einstellungen. Nutzer sollten zumindest eine einfache Option erhalten, die Verbindungsprüfungen zu deaktivieren. Dies sei etwa in GrapheneOS möglich.

Das Team von Google bestätigte zunächst, dass die Technik so funktioniere wie vorgesehen. Darüber hinaus würde eine Änderung Nutzer eventuell verwirren und das Verhalten sei für einige Szenarien und Anwendungen wie ein Split-Tunnel-VPN sogar notwendig. Darüber hinaus gäben die Verbindungsprüfungen keine Details preis, die nicht auch aus dem L2-Traffic ersichtlich seien. Eine Änderung wird es in Android also vorerst nicht geben.

Das Team von Mullvad forderte in einem weiteren Bug-Report deshalb, zumindest die offizielle Dokumentation von Android anzupassen und das umgesetzte Verhalten zu beschreiben. Eine Reaktion von Google darauf gibt es bisher noch nicht.

Der Beitrag Android schickt Verbindungsprüfungen an VPN vorbei erschien zuerst auf Linux-Magazin.

Mit KataOS hat Google damit begonnen, eine sichere Plattform für Embedded-Geräte zu entwickeln, auf denen ML-Anwendungen laufen.

In der Ankündigung heißt es, dass Google mehrere Komponenten für das Betriebssystem KataOS als Open Source auf GitHub zur Verfügung gestellt hat. Zudem sei man eine Partnerschaft mit Antmicro für den Renode-Simulator und die dazugehörigen Frameworks eingegangen. Als Grundlage für das neue Betriebssystem diene der seL4 als Mikrokernel, der Sicherheit in den Vordergrund stelle. seL4 sei erwiesener Maßen sicher und garantiere Vertraulichkeit, Integrität und Verfügbarkeit.

Als weitere Vorzüge des Mikrokernels lobt Google die das seL4 CAmkES-Framework. Damit sei man in der Lage, statisch definierte und analysierbare Systemkomponenten bereitzustellen. KataOS biete eine nachweislich sichere Plattform, die die Privatsphäre des Benutzers schützt, da es für Anwendungen logisch unmöglich ist, die Hardware-Sicherheitsvorkehrungen des Kernels zu verletzen und die Systemkomponenten sicher seien. Dass KataOS fast vollständig in Rust implementiert sei, zähle zu den weiteren Vorzügen für die Softwaresicherheit, da damit ganze Klassen von Fehlern, wie etwa Off-by-One-Fehler und Pufferüberläufe eliminiert seien.

Der Beitrag Google startet KataOS erschien zuerst auf Linux-Magazin.

Der texanische Generalstaatsanwalt Ken Paxton hat wegen Verstößen gegen das in Texas geltende Datenschutzrecht Google verklagt. In der Klageschrift heißt es, Google sammle biometrische Daten von texanischen Bürgern ohne deren Zustimmung und erstelle so Profile. Die Kamera des Nest Hub von Google vergleicht Paxton mit  dem Auge von Sauron, der alles sehenden dunklen Macht aus der Herr der Ringe-Trilogie.

Googles Gerät Nest Hub Max erfasse wahllos die Gesichtsgeometrie jedes Texaners, der zufällig in Sichtweite komme, schreibt Pxton in der Klageschrift, und dies auch von Nicht-Nutzern, die Google nie die Erlaubnis erteilt hätten, ihre biometrischen Daten zu erfassen und die höchstwahrscheinlich nicht einmal wüssten, dass Google dies tue. Wie bei Google Fotos bedeutet dies, dass Google auch die biometrischen Daten texanischer Kinder erfasse, die vielleicht aus Neugierde vor dem Nest Hub Max stünden, während die Kamera sie beobachte und analysiere, heißt es in der Klage weiter.

Und bei der Gesichtserkennung höre es nicht auf, schreibt Paxton weiter. Die Nest-Produktlinie von Google sowie viele andere Produkte seien mit Google Assistant ausgestattet, einem “sprachgesteuerten persönlichen Assistenten”. Google habe den Google Assistant in Autos, Telefone, Lautsprecher, Fernseher, Laptops, Tablets, Wearables, Displays, Thermostate, Kameras, Türklingeln, Alarmanlagen, Yale-Schlösser und vieles mehr integriert. Geräte, die fast jeden Zentimeter der texanischen Haushalte und des Privatlebens bedecken, so Paxton. Bei Aktivierung durch ein einfaches “Hey Google”, zeichne Google Assistant auf, was er höre.

Google hat die Vorwürfe zurückgewiesen, berichtet das Wall Street Journal.

Der Beitrag Saurons Auge: Texas verklagt Google erschien zuerst auf Linux-Magazin.

Mit dem Open-Source-Projekt Graph for Understanding Artifact Composition (GUAC) will Google Metadaten zur Softwaresicherheit in einer Graphdatenbank zusammenführen. Dort sollen die Daten normalisiert und Beziehungen zwischen ihnen sichtbar werden.

Durch die Abfrage dieser Graphen sollen dann übergeordneten organisatorische Ergebnissen wie Audits, Richtlinien, Risikomanagement und sogar Entwicklerunterstützung möglich werden, teilt Google mit. Google arbeitet bei der Entwicklung des kostenlosen Tools unter anderem mit der Purdue University zusammen.

GUAC lasse sich so konfigurieren, dass es sich mit einer Vielzahl von Quellen für Software-Sicherheitsmetadaten verbindet. Einige Quellen können offen und öffentlich sein, wie OSV, einige können von Dritten stammen, etwa interne Repositories einer Organisation.

Nach der Aufnahme von Rohmetadaten aus den verschiedenen Quellen füge GUAC diese zu einem kohärenten Graphen zusammen, indem es die Entitätsbezeichner normalisiere, den Abhängigkeitsbaum durchlaufe und die impliziten Entitätsbeziehungen wiederherstelle.

GUAC ist als Open-Source-Projekt auf Github zu finden. Laut Google befindet es sich in der Anfangsphase und  bietet derzeit einen Proof of Concept, mit dem sich SLSA-, SBOM- und Scorecard-Dokumente aufnehmen lassen und der einfache Abfragen und die Erforschung von Software-Metadaten unterstützt.

Der Beitrag Graphdatenbank GUAC soll Software Supply Chain sicherer machen erschien zuerst auf Linux-Magazin.

Google hat ein Update für seinen Chrome-Browser für Linux, Mac OS und Windows herausgegeben. Ein Einspielen des Updates ist nötig, weil die damit geschlossene Sicherheitslücke bereits ausgenutzt werden kann.

Wie gewohnt sind die Informationen von Google zur Lücke spärlich, um Angreifern damit nicht in die Hände zu spielen. Es handelt sich aber wie so oft um einen Speicherfehler. Google mahnt zum Update, weil es einen Exploit der Lücke gibt, der sich bereits im Umlauf befindet.

Da mit dem Update nur eine Lücke geschlossen wird, dürfte wahlweise die Ausnutzung relativ einfach sein oder der anzurichtende Schaden hoch. Die Sicherheitslücke (CVE-2022-4135) wurde von Googles Thread Analysis Group entdeckt. Google gibt an, dass es mehr Details zur Lücke gibt, wenn sie mehrheitlich bei den Nutzern gepatcht ist.

Der Beitrag Exploit unterwegs: Chrome braucht Update erschien zuerst auf Linux-Magazin.