Google Chrome: neues Update schließt Sicherheitslücke

Google hat für den Chrome Browser eine neue Version bereits gestellt, die unter anderem eine recht kritische Sicherheitslücke schließt. Mit dem Update 75.0.3770.142 wird dieses Problem sowohl für Windows, Mac als auch für Linux behoben. Davor war es unter anderem möglich, den Browser zum Absturz zu bringen oder vertrauliche Informationen anzeigen zu lassen, auch wenn es an sich nicht die passenden Zugriffsrechte gibt.

Das Bundesamt für Sicherheit in der Informationstechnik schreibt zum neuen Update:

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um die
Applikation zum Absturz zu bringen oder Informationen offenzulegen. Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

Die neue Version 75.0.3770.142 steht dabei ab sofort zur Verfügung und wird automatisch für bestehende Google Chrome aufgespielt und installiert. Das Rollout erfolgt dabei aber nicht sofort für alle Systeme, sondern teilweise zeitverzögert, so dass es durchaus auch noch einige Tage dauern kann, bis die neue Version des Chrome Browser alle Nutzer erreicht hat. Wer sich unsicher ist, kann selbst auf neue Versionen prüfen oder aber sich die Versionsnummer anzeigen lassen. Diese sollte 75.0.3770.142 lauten, dann ist man auf der sicheren Seite.

 

Google Chrome: neue Browserversion schließt 47 Sicherheitslücken

Google hat eine neuen Version des Chrome Browsers veröffentlicht und schließt mit Chrome 75 vor allem Sicherheitslücken und Bugs im Browser. Insgesamt sprechend de Macher von 42 Sicherheitslücken, die mit der neuen Variante des Browsers geschlossen werden. Einige davon sind als „Hoch“ in der Sicherheitsbewertung eingestuft, eine kritische Lücke ist erfreulicherweise aber nicht dabei.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt daher ein schnelles Update, sobald die neue Version zur Verfügung steht. Die Experten schreiben dazu:

Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um einen Denial of Service Angriff durchzuführen, vertrauliche Informationen einzusehen, Daten zu manipulieren oder Sicherheitsvorkehrungen zu umgehen.

Das ist auch durchaus sinnvoll, denn die meisten Lücken sind damit jetzt öffentlich und könnten auch von Dritten ausgenutzt werden, auch wenn bisher noch kein entsprechendes Szenario bekannt ist.

Google selbst hat die neue Version Chrome 75 für Windows, Mac und Linux zur Verfügung gestellt. Allerdings wird die Version nicht mit einem Mal international ausgerollt, sondern in Etappen, Das Unternehmen schreibt selbst dazu, dass die neuste Version in den kommenden Tagen und Wochen zur Verfügung stehen wird – je nach genutztem System und Standort kann dies also durchaus auch bedeuten, dass man noch etwas länger auf Chrome 75 warten mus.

Immer auf den Laufenden bleiben: Tech News und Meldungen direkt auf das Handy oder in den Sozialen Netzwerken: Appdated Telegramm Channel | Appdated bei Facebook | Appdated bei Twitter

Neue Chrome Version fixt mehrere Sicherheitslücken

Google hat für den Chrome Browser eine neue Version zur Verfügung gestellt, die unter anderem auch eine ganze Reihe von Sicherheitsupdates mit bringt und mehrere Sicherheitslücken schließt. Die neue Version steht dabei sowohl für Windows, Mac und Linux zur Verfügung und kann wie immer kostenlos genutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, die neue Version zeitnah einzuspielen:

Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten 
Sicherheitsupdates, um die Schwachstellen zu schließen. In Google Chrome bestehen mehrere Schwachstellen. Diese können ausgenutzt werden, um Sicherheitsmechanismen zu umgehen, Daten zu manipulieren, den Browser zum Absturz zu bringen oder um beliebige Programme auszuführen. Zur Ausnutzung genügt es, eine Webseite zu öffnen, die bösartigen Code enthält (z. B. durch Anklicken eines Links).

In der Regel wird der Browser dabei automatisch aktualisiert, sobald die neue Version zur Verfügung steht. Daher muss man in der Regel recht wenig tun und die Aktualisierung läuft im Hintergrund ab. Nur falls es Probleme gibt oder man die automatische Aktualisierung nicht nutzt, muss man an der Stelle selbst aktiv werden und das Update manuell anstoßen. Google schreibt dazu in den FAQ zu Chrome:

So aktualisieren Sie Google Chrome:

  1. Öffnen Sie Chrome auf Ihrem Computer.
  2. Klicken Sie rechts oben auf das Dreipunkt-Menü Mehr.
  3. Klicken Sie auf Google Chrome aktualisieren. Wenn diese Schaltfläche nicht angezeigt wird, verfügen Sie schon über die neueste Version.
  4. Klicken Sie auf Neu starten.

Ihre geöffneten Tabs und Fenster werden vom Browser gespeichert und beim Neustart automatisch geöffnet. Wenn Sie den Browser nicht sofort neu starten möchten, klicken Sie auf Nicht jetzt. Beim nächsten Start Ihres Browsers wird das Update installiert.

 

Google Chrome 70 soll wieder alle Cookies löschen

In der aktuellen Version des Chrome-Browser (Chrome 69) hatten Experten einige Änderungen bemerkt, die eher für Kritik sorgten. Zum Beispiel wurde die Funktion „Cookies löschen“ geändert und derzeit werden alle Cookies gelöscht mit Ausnahme der Google Auth Cookies. Diese bleiben auch nach dem Löschen erhalten. Christoph Tavan hatte dieses Verhalten auf Twitter bereits beschrieben und auch getestet, ob die Cookies tatsächlich blieben. Tatsächlich blieben die Google Cookies erhalten bzw. wurden sofort neu gesetzt.

Es reicht derzeit damit nicht mehr, die Cookies zu löschen um sich auf dem Gerät von den Google Accounts abzumelden. Nutzer, die das nicht wissen, erlauben damit anderen Nutzern möglicherweise den Zugriff auf die eigenen Google Dienst, weil die Cookies und damit die Anmeldedaten erhalten bleiben. Diese Neuerung ist damit auch ein Sicherheitsproblem.

Die neue Beschreibung der Funktion in Chrome 69:

Google hat mittlerweile auf die Kritik an dem neuen Feature reagiert und kündigt an, dass man in der nächsten Version Chrome 70 diese Funktion wieder abändern will. Konkret sollen dann auch wieder die Google Auth Cookies gelöscht werden und Nutzer werden damit mit dem Löschen aller Cookies auch aus den Google Accounts abgemeldet. Allerdings ist diese Version bisher noch nicht online. Derzeit reicht also Cookie löschen nicht aus, um sich bei den Google Diensten abzumelden, das sollte manuell in den jeweiligen Accounts gemacht werden.

Im Blog schreibt das Unternehmen dazu:

We’re also going to change the way we handle the clearing of auth cookies. In the current version of Chrome, we keep the Google auth cookies to allow you to stay signed in after cookies are cleared. We will change this behavior that so all cookies are deleted and you will be signed out.

und

While we think sign-in consistency will help many of our users, we’re adding a control that allows users to turn off linking web-based sign-in with browser-based sign-in—that way users have more control over their experience. For users that disable this feature, signing into a Google website will not sign them into Chrome.

Das Unternehmen geht davon aus, dass die neue Version mit Chrome 70 wohl Mitte Oktober zur Verfügung stehen wird. Bis dahin müssen Chome Nutzer noch mit der aktuellen Version arbeiten und aufpassen, sich korrekt abzumelden – zumindest dann wenn mehrere Nutzer an dem Rechner arbeiten.

Christoph Tavan hat auch noch festgestellt, dass die neue Version den sogenannten localStorage von Chrome nicht korrekt leert. Dort werden oft Daten und auch Werbung gespeichert und damit auch Trackingdaten über den Nutzer aufbewahrt. Ob sich bei Chrome 70 auch hier etwas ändern wird, würde leider nicht mitgeteilt. Wer wissen will, welche Daten der eigenen Chrome Browser dort speichert und was erhalten bleibt, wenn man an sich alles löschen will, sollte den Local Storage Explorer nutzen. Damit kann man sich nicht nur einen Überblick über die gespeicherten Daten und Files im System machen, sondern auch direkt darauf zugreifen und bestimmte Punkte und Files manuell löschen. Wer sich also nicht auf Chrome und die eingebauten Funktionen zum Löschen verlassen will, bekommt über diesen Tool einen deutlich besseren Zugriff und mehr Kontrolle.

Firefox Quantum – Inkognito Mode deutlich schneller als bei Chrome

Mozilla hat in der letzten Woche den neuen Firefox Quantum veröffentlicht und nun gibt es erste Ergebnisse, was die Geschwindigkeiten betrifft. Mozilla hat sich dabei mit der Organisation Disconnect zusammen getan und bei den 200 beliebtesten Nachrichten-Webseiten getestet, wie schnell wie Seiten geladen wurden. Der Test wurde dabei sowohl im normalen Modus als auch im Private-Modus durchgeführt und mit den Ergebnissen des Chrome Browser unter der gleichen Anforderungen verglichen. Dabei zeigte sich vor allem im Privaten Modus ein deutlicher Geschwindigkeitsvorteil für den neuen Mozilla Firefox.

Der Private Modus von Firefox bietet dabei einen Tracking-Schutz, so dass bestimmte Elemente einer Webseite nicht mehr geladen werden, die eventuell eine Identifizierung des Nutzers möglich machen. Damit soll die Privatsphäre der Browsernutzer geschützt werden. Dies macht sich bei den Geschwindigkeiten bemerkbar, denn alle Elemente, die vom Browser abgelehnt werden, müssen natürlich auch nicht geladen werden und senken somit den Traffic. Das hat zur Folge, dass Firefox Quantum im Privaten Modus nur etwa 3,2 Sekunden für den Seitenaufbau braucht, während es im normalen Modus (mit allen Elementen) fast 4 Sekunden mehr sind. Chrome bietet zwar auch einen Inkognito-Modus an, dieser blockt aber das Tracking nicht und daher ist dieser Modus beim Chrome auch nicht schneller.

Das Unternehmen schreibt im Original dazu:

Über die 200 getesteten Webseiten hinweg liegt die durchschnittliche Seitenladezeit im Privaten Modus von Firefox Quantum bei 3,2 Sekunden, während Chromes Inkognitomodus durchschnittlich 7,7 Sekunden benötigte, um über die schnelle Gigabit-Verbindung eine Seite zu laden. Das heißt, dass Firefox Quantum im Privaten Modus durchschnittlich 2,4 Mal so schnell ist wie Chrome im Inkognitomodus. Der Vergleich der durchschnittlichen Ladezeiten in Chrome zeigt auf, dass der Inkognitomodus für sich genommen keine Vorteile für die Geschwindigkeit bringt. Tatsächlich ist es der Tracking-Schutz, der einen Unterschied macht – das lässt sich aus den Ergebnissen für Firefox Quantum ableiten.

Allerdings kann auch nicht ausgeschlossen werden, das einige Elemente einer Webseite durch den Tracking-Schutz gar nicht mehr geladen werden. Beispielsweise weist Mozilla darauf hin, das der Facebook Button eventuell nicht mehr angezeigt wird und auch andere Elemente sind unter Umständen verschwunden. Das kann im schlimmsten Fall zu Darstellungsproblemen mit der Webseite führen oder dazu, dass bestimmte Funktionen nicht mehr nutzbar sind. In solchen Fällen haben Nutzer dann nur die Wahl die Webseite erst gar nicht aufzurufen, oder aber das Tracking zuzulassen und die Seite im normalen Browser aufzurufen.

Die Ergebnisse im Überblick:

Allerdings sind diese Werte natürlich nur durchschnittliche Werte – die individuelle Ladezeit hängt sehr stark von der Seite und natürlich auch vom der genutzten Verbindung ab und kann daher auch nach oben (aber auch nach unten) abweichen. Bei Test wurde aber gerade im Bereich der Verbindung Gigabit Anschlüsse genutzt, es dürfte also gerade in Deutschland recht schwer werden, schnellere Verbindungen zu bekommen.

Video: EDGE gegen Firefox, Chrome und Opera

Microsoft hat ein kleines Werbevideo veröffentlicht und dabei die aktuellen Browser gegeneinander antreten lassen. Man wollte zeigen, wie stromsparend die Browser arbeiten und hat daher ein Surface Book mit Windows 10 mit dem jeweiligen Browser ein Video streamen lassen.

Überraschung: EDGE läuft am längsten und der Akku ist erst nach über 7 Stunden leer. Opera kommt auf den zweiten Platz mit 6:18 Stunden, Firefox folgt mit 5:09 Stunden und Chrome landet mit 4:19 abgeschlagen auf dem letzten Platz.

Tatsächlich ist das Ergebnis aber wenig überraschend, denn das Surface Book ist natürlich originale Microsoft Hardware, da ist es nachvollziehbar, dass auch die Microsoft Software am besten läuft – das Unternehmen konnte hier ja Hardware und Software aufeinander abstimmen. Von daher wäre es interessant zu sehen, wie ein Experiment dieser Art auf anderen Geräten laufen würde.

Kritisch sind dagegen die Leistungen von Chrome. Der Browser liegt weit unter den Werten der anderen Browser, EDGE hält sogar fast doppelt so lang durch.

Video: EDGE gegen Firefox, Chrome und Opera