Google Chrome 104 behebt Sicherheitslücken

Google hat die Version 104 von Chrome für Windows, Mac und Linux veröffentlicht. Sie enthält Korrekturen für 27 Sicherheitslücken, die von Dritten gemeldet wurden. Keine der Schwachstellen wird als aktiv ausgenutzt aufgeführt, aber die Versionshinweise für Chrome 104 enthalten einige bemerkenswerte, wenn auch nur spärlich beschriebene Korrekturen für schwerwiegende Schwachstellen, die die Chrome Omnibox“ (Adressleiste), Googles optionalen Online-Schutz Safe Browsing, die Dawn WebGPU-Implementierung in Chrome und Googles Apple AirDrop-ähnliche Nearby-Share-Funktion zum Teilen von Dateien zwischen Chromebook und Android-Geräten betreffen.

Darüber hinaus gibt es ein interessantes, mittelschweres Problem des Informationsaustritts über Seitenkanäle, das die Tastatureingabe von Chrome betrifft und von Erik Kraft und Martin Schwarzl von der Technischen Universität Graz (TU) entdeckt wurde. Forscher der TU Graz waren maßgeblich an der Entdeckung der Meltdown- und Spectre-CPU-Seitenkanalangriffe im Jahr 2018 beteiligt.

Google gewährte einem anonymen Forscher 15.000 US-Dollar für das Omnibox-Speicherproblem „use after free“, das als CVE-2022-2603 verfolgt wird.  Safe Browsing in Chrome war ebenfalls von einem schwerwiegenden „use after free“-Problem (CVE-2022-2604) und einem mittelschweren Problem betroffen, das durch eine unzureichende Validierung von nicht vertrauenswürdigen Eingaben verursacht wurde (CVE-2022-2622).

Safe Browsing wird von Chrome und anderen gängigen Browsern verwendet, um Benutzern eine Warnung anzuzeigen, bevor sie eine gefährliche Website besuchen oder eine bösartige Anwendung herunterladen.

Das schwerwiegende Problem wurde am 10. Juni von Nan Wang und Guang Gong vom 360 Alpha Lab bei Qihoo 360 gemeldet. Die beiden meldeten auch einen hochgradigen Use after free in der Managed Devices API von Chrome (CVE-2022-2606) und einen mittelschweren Use after free in der WebUI von Chrome (CVE-2022-2620).

Die Schwachstelle in der Funktion „Nearby Share“ von Chrome war ebenfalls eine „Use after free“-Schwachstelle (CVE-2022-2609).

Details zu den Fehlern sind spärlich, da Google den Zugang zu Fehlerdetails in seinen Versionshinweisen einschränkt, „bis eine Mehrheit der Nutzer mit einem Fix aktualisiert wurde“. Der Zugriff kann auch eingeschränkt werden, wenn der Fehler in einer Bibliothek eines Drittanbieters vorhanden ist, von der andere Projekte abhängen, die aber noch nicht behoben wurden.

U2F eingestellt

Eine wichtige sicherheitsrelevante Änderung in Chrome 104 ist die Entfernung der U2F-API, der ursprünglichen Sicherheitsschlüssel-API für Chrome, die durch die neuere Web-Authentifizierungs-API (WebAuthn) ersetzt wurde. WebAuthn wurde 2019 zu einem offiziellen W3C-Standard und war zu diesem Zeitpunkt bereits in allen wichtigen Browsern sowie in Windows und Android implementiert.

U2F-USB-Sicherheitsschlüssel für die Zwei-Faktor-Authentifizierung werden von WebAuthn unterstützt und sind daher von der Änderung nicht betroffen, aber Websites müssen auf die WebAuthn-API umgestellt werden. Die Änderung sollte für Webentwickler keine Überraschung sein, da Google in den letzten zwei Jahren vor der Änderung gewarnt hat.

„U2F wurde nie zu einem offenen Web-Standard und wurde von der Web-Authentifizierungs-API (eingeführt in Chrome 67) übernommen. Chrome hat die FIDO U2F JavaScript-API nie direkt unterstützt, sondern lieferte eine Komponentenerweiterung namens Cryptotoken aus… U2F und Cryptotoken befinden sich fest im Wartungsmodus und haben Websites in den letzten zwei Jahren dazu ermutigt, zur Webauthentifizierungs-API zu migrieren“, erklärte Google in einem aktuellen Blogpost.

Google hat außerdem Chrome 104 in seinen neuen erweiterten stabilen Kanal für Windows und Mac aufgenommen.