[gelöst] Chromium

Alles rund um sicherheitsrelevante Fragen und Probleme.
mcb

Re: Chromium

Beitrag von mcb » 16.08.2020 09:36:17

Tintom hat geschrieben: ↑ zum Beitrag ↑
14.08.2020 21:09:00
Mozilla hat gerade ein Viertel seiner Mitarbeiter gefeuert. Die meisten Bugs werden aber meist von den eigenen Mitarbeitern gefunden. Wirkt für künftige Versionen nicht unbedingt vertrauenserweckend.
Ja, "die Gehälter für ihre 1000 Mitarbeiter haben 2018 zusammen 286 Millionen Dollar betragen. Jetzt haben sie einen frischen Deal mit Google über 450 Millionen Dollar pro Jahr gemacht.

Äh, ... an welcher Stelle kommt da eine Geldknappheit ins Spiel?" ... https://blog.fefe.de/?ts=a1c8b564

:roll: Ev. sollte mozilla ab und an auf seine Nutzer hören, dann wäre der Marktanteil auch höher (meine Meinung)

mcb

Re: Chromium

Beitrag von mcb » 16.08.2020 09:42:18

cronoik hat geschrieben: ↑ zum Beitrag ↑
15.08.2020 06:12:25
................ zeitnah aktualisiert wird (wie z.B. der mitgelieferte Firefox ESR). Gibt es sowas für Debian Buster ?
Ich zeig mal auf snap [3], bei den Konkurrenten wirst du bestimmt auch fuendig.

[1] https://www.debian.org/security/faq#cvedsa
[2] https://www.debian.org/releases/stable/ ... r-security
[3] https://snapcraft.io/chromium
[/quote]

Ja 2 hatte ich vor der Installation gelesen und bin von der Umsetzung entäuscht. :cry: Mit Firefox ESR funktioniert es gut, mit Chromium strenggenommen nicht.

Snap ? Ich schaue mal ob ich ein Appimage finde, mir würde auch ein tar reichen, wie bei Firefox oder Tor

Letzte möglichkeit ich kompiliere selbst ???

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Chromium

Beitrag von hikaru » 16.08.2020 10:00:13

cronoik hat geschrieben: ↑ zum Beitrag ↑
15.08.2020 06:12:25
Angenommen es ist alles in Ordnung, dann sind die von dir gelisteten Sachen als nicht kritisch eingestuft worden. Falls nicht, dann muss hier bei Security mal nachgehaken werden (oder besser selbst Maintainer werden und unterstuetzen), da Chromium auch in den Releasenotes empfohlen wird [2].
[..]
[2] https://www.debian.org/releases/stable/ ... r-security
Auf diese Sicherheitsunterstützung von Chromium in Debian würde ich nicht viel geben. Wie gesagt, der Code wie er in Debian vorliegt war vor drei Jahren unverständlich und die "Maintainance" des QA-Teams scheint sich darauf zu beschränken, blind neuen zerwürgten Code ins Debian-Repo zu kippen und dann den Compiler anzuwerfen. Es wurden zu Wheezy-Zeiten nicht mal FTBFS-Probleme abseits von x86 behandelt (irgendwie hatten sie es trotzdem geschafft, Binärpakete für armel/hf anzubieten, die aber nach Hinweis auf das FTBFS-Problem entfernt wurden, offenbar ohne sich näher mit den Gründen zu beschäftigen).
Da habe ich beim Firefox-Team in Debian einen ganz anderen Eindruck. Dort werden selbst einige der datenschutztechnischen Experimente die Mozilla den Usern gen mal unterschiebt rausgefiltert. Dass Mozilla selbst jetzt ausgerechnet beim Sicherheits-Team spart ist dem natürlich nicht zuträglich.
cronoik hat geschrieben: ↑ zum Beitrag ↑
15.08.2020 06:12:25
Ich zeig mal auf snap
Snap, Appimage und Konsorten sind als Freemdquellen zu werten. Klar, kann man machen. Aber man muss sich dann eben immer überlegen, ob man dem Anbieter vertraut. Und das ist ein technisch tieferes Vertrauen als bei "normalen" Fremdquellen, denn in diesen Images stecken nicht nur die Pakete die man als Enduser eigentlich will, sondern auch noch einige Libs, die der Fremdanbieter ebenfalls warten muss.
Traue ich es also dem Fremdanbieter zu, nicht nur $Browser zu warten, sondern auch $LibABC bis $LibXYZ? In Debian gibt es dafür ~1000 Leute. Wieviele hat der Fremdanbieter?

fossonly hat geschrieben: ↑ zum Beitrag ↑
15.08.2020 17:36:32
Ich für meinen Teil habe mich von den großen Browsern verabschiedet, da mir die Entwicklung zunehmend missfällt. Nicht nur das man es weitgehend mit enormer Bloatware zutun hat, nein, auch die politische Führung sehe ich angesichts dubioser Funktionalitäten mit Sorge, wenn man sowohl bei Firefox als auch Chromium hinsichtlich der Konfiguration, unzähligen Mist abwürgen muss damit die Browser endlich mal die Klappe halten und nur noch tun was sie regulär ausschließlich sollten. Daher bin ich seit geraumer Zeit sehr zufrieden mit Epiphany (Gnome-Web), habe nun einen extrem schlanken Browser der sich auf das wesentliche konzentriert, und das ohne mich mit jeder neuen Version mit lästigen Beigaben zu beglücken. Ein Browser sollte ab Werk vertrauenswürdig sein, und dem Nutzer nicht noch in Sachen Datenschutz und Privatsphäre in den Rücken fallen.
Epiphany basiert auf Webkit. Das bekommt aber in Debian keine Sicherheitsupdates, weil diese sich nicht sinnvoll zurückportieren lassen. Daher ist Webkit in Debian, wie in vielen anderen Distributionen auch als unsicher anzusehen. [1] Von deinem schlanken und vermeintlich sicheren Webkit-Browser hast du also nichts, wenn die darunterliegende Webkit-Engine bereits anfängt unangenehm zu riechen.
Einen Webkit-Browser unter Debian würde ich nur unter Unstable und vielleicht noch Testing als sicher ansehen, aber nicht unter Stable.


[1] https://blogs.gnome.org/mcatanzaro/2016 ... y-updates/

cronoik
Beiträge: 2049
Registriert: 18.03.2012 21:13:42
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Chromium

Beitrag von cronoik » 16.08.2020 10:26:36

hikaru hat geschrieben: ↑ zum Beitrag ↑
16.08.2020 10:00:13
[...] Traue ich es also dem Fremdanbieter zu, nicht nur $Browser zu warten, sondern auch $LibABC bis $LibXYZ? In Debian gibt es dafür ~1000 Leute. Wieviele hat der Fremdanbieter?
Ich sehe deinen ganzen Beitrag als Bereicherung zu meinem an und will nur die Luecke fuellen. Im Fall von Chromium ist es Canonical und die liefern Chromium wohl nur noch als snap aus [1].

[1] https://www.golem.de/news/eoan-ermine-u ... 478-2.html
Hilf mit unser Wiki zu verbessern!

mcb

Re: Chromium

Beitrag von mcb » 16.08.2020 15:45:50

Ja bei dem Chromium-Snap wird viel aufwand getrieben um es aktuel zu halten.

- ich halte aber gar nichts von snap, also muß ich mir was anderes überlegen.

fossonly
Beiträge: 23
Registriert: 10.06.2020 10:40:38

Re: Chromium

Beitrag von fossonly » 16.08.2020 18:48:10

@Tintom
Ich bin lediglich Realist und stecke auch nicht den Kopf in den Sand, sondern akzeptiere nur den unabänderlichen Fakt, dass heute auf jeden Browser hunderte an Sicherheitslücken pro Jahr kommen, die seitens der Entwickler je nach Komplexität kaum zeitnah gefixt werden können angesichts der Masse. Und darauf kommen dann noch die Prozesse diese Sicherheitsupdates entsprechend zu verteilen, was für sich nochmals Zeit kostet. Das ist heutzutage ein Wettlauf der je nach Browser kaum gewonnen werden kann, weshalb moderne Browser aus gutem Grund auf das Sandboxing seitens der Betriebssysteme zurückgreifen, damit die Angriffsfläche im Ernstfall eben deutlich minimiert ist. Wer zudem aus noch besseren Gründen auf Javascript verzichtet, hat erfahrungsgemäß noch weitaus weniger Sorgen mit Sicherheitslücken.
hikaru hat geschrieben: ↑ zum Beitrag ↑
16.08.2020 10:00:13
Epiphany basiert auf Webkit. Das bekommt aber in Debian keine Sicherheitsupdates, weil diese sich nicht sinnvoll zurückportieren lassen. Daher ist Webkit in Debian, wie in vielen anderen Distributionen auch als unsicher anzusehen. [1] Von deinem schlanken und vermeintlich sicheren Webkit-Browser hast du also nichts, wenn die darunterliegende Webkit-Engine bereits anfängt unangenehm zu riechen.
Einen Webkit-Browser unter Debian würde ich nur unter Unstable und vielleicht noch Testing als sicher ansehen, aber nicht unter Stable.


[1] https://blogs.gnome.org/mcatanzaro/2016 ... y-updates/
Du stützt deine Argumentation auf hoffnungslos veraltete Informationen. Es geht hier um vier Jahre was in Sachen Software eine Ewigkeit ist. Die zugrundeliegenden Probleme der Vergangenheit sind auch längst adressiert worden.

Siehe:
https://security-tracker.debian.org/tra ... webkit2gtk

Und wie man auch deinem Link entnehmen konnte, gab es ja so einige Mängel als auch Informationen hinsichtlich zukünftiger Verbesserungen. Die interne Struktur seitens WebKit2GTK hat sich seit jeher deutlich geändert, womit unter anderem auch vieles an Code in separate Module ausgelagert wurde, was zugleich ermöglicht hat eine sehr granulierte Isolation mithilfe von Bubblewrap (ähnlich wie unter Chromium) herzustellen. Dein Link stammte ebenfalls vom maßgeblich dafür verantwortlichen Entwickler, der die ganzen Verbesserungen erfreulich und regelmäßig detailliert veröffentlicht. Und wie Du dem Security-Tracker von Debian entnehmen kannst, ist hier alles von Debian-Stable bis Debian-Unstable gleichermaßen mit Sicherheitsupdates versorgt. Man kommt selbst über die Backports an moderne Versionen von WebKit2GTK. Daher sollten die Bedenken heute eigentlich nicht länger bestehen.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Chromium

Beitrag von hikaru » 16.08.2020 19:10:24

fossonly hat geschrieben: ↑ zum Beitrag ↑
16.08.2020 18:48:10
Du stützt deine Argumentation auf hoffnungslos veraltete Informationen. Es geht hier um vier Jahre was in Sachen Software eine Ewigkeit ist. Die zugrundeliegenden Probleme der Vergangenheit sind auch längst adressiert worden.

Siehe:
https://security-tracker.debian.org/tra ... webkit2gtk
Danke für den Hinweis! Das scheint seit Buster neu zu sein. Nutzt du aufgrund dieser Änderung nun Epiphany oder hast du den schon vorher verwendet?
Und kannst du abschätzen, wie sich damit allgemein die Sicherheitslage von Webkit-Browsern verändert hat? Sprich: Wieviel Anteil hat Webkit an der Sicherheit und wieviel der Browser selbst? Debianepiphany-browser hat ja inzwischen selbst ein Update unter Buster bekommen, aber z.B. Debianmidori nicht

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: Chromium

Beitrag von Tintom » 17.08.2020 15:38:56

fossonly hat geschrieben: ↑ zum Beitrag ↑
16.08.2020 18:48:10
Daher sollten die Bedenken heute eigentlich nicht länger bestehen.
Nun ja, wie du https://security-tracker.debian.org/tra ... ny-browser entnehmen kannst, ist dein bevorzugter Browser angeblich noch anfällig für eine SSL-Lücke von vor 6 (!) Jahren. Ich verstehe aber nicht so recht warum, denn die Bibliotheken mit denen das Paket gebaut wird, sind seit Jahren gefixt.

mcb

Re: Chromium

Beitrag von mcb » 28.08.2020 09:09:57

Habe grad nochmal geschaut:

zur Zeit über 60 Lücken, das bringt es nicht ... schade. :(

https://security-tracker.debian.org/tra ... e/chromium

mcb

Re: [gelöst] Chromium

Beitrag von mcb » 08.10.2020 13:32:33

Wow:

action needed
100 security issues in sid high
100 security issues in buster high
100 security issues in bullseye high
lintian reports 673 errors and 15 warnings

https://tracker.debian.org/pkg/chromium

mcb

Re: [gelöst] Chromium

Beitrag von mcb » 03.04.2021 12:31:23

Stand Heute:

Code: Alles auswählen

Bug	stretch	buster	bullseye	sid	Description
CVE-2021-21199	vulnerable	vulnerable	vulnerable	vulnerable	
CVE-2021-21198	vulnerable	vulnerable	vulnerable	vulnerable	
CVE-2021-21197	vulnerable	vulnerable	vulnerable	vulnerable	
CVE-2021-21196	vulnerable	vulnerable	vulnerable	vulnerable	
CVE-2021-21195	vulnerable	vulnerable	vulnerable	vulnerable	
CVE-2021-21194	vulnerable	vulnerable	vulnerable	vulnerable	
CVE-2021-21193	vulnerable	vulnerable	fixed	fixed	Use after free in Blink in Google Chrome prior to 89.0.4389.90 allowed ...
CVE-2021-21192	vulnerable	vulnerable	fixed	fixed	Heap buffer overflow in tab groups in Google Chrome prior to 89.0.4389 ...
CVE-2021-21191	vulnerable	vulnerable	fixed	fixed	Use after free in WebRTC in Google Chrome prior to 89.0.4389.90 allowe ...
CVE-2021-21190	vulnerable	vulnerable	fixed	fixed	Uninitialized data in PDFium in Google Chrome prior to 89.0.4389.72 al ...
CVE-2021-21189	vulnerable	vulnerable	fixed	fixed	Insufficient policy enforcement in payments in Google Chrome prior to ...
CVE-2021-21188	vulnerable	vulnerable	fixed	fixed	Use after free in Blink in Google Chrome prior to 89.0.4389.72 allowed ...
CVE-2021-21187	vulnerable	vulnerable	fixed	fixed	Insufficient data validation in URL formatting in Google Chrome prior ...
CVE-2021-21186	vulnerable	vulnerable	fixed	fixed	Insufficient policy enforcement in QR scanning in Google Chrome on iOS ...
CVE-2021-21185	vulnerable	vulnerable	fixed	fixed	Insufficient policy enforcement in extensions in Google Chrome prior t ...
CVE-2021-21184	vulnerable	vulnerable	fixed	fixed	Inappropriate implementation in performance APIs in Google Chrome prio ...
CVE-2021-21183	vulnerable	vulnerable	fixed	fixed	Inappropriate implementation in performance APIs in Google Chrome prio ...
CVE-2021-21182	vulnerable	vulnerable	fixed	fixed	Insufficient policy enforcement in navigations in Google Chrome prior ...
CVE-2021-21181	vulnerable	vulnerable	fixed	fixed	Side-channel information leakage in autofill in Google Chrome prior to ...
CVE-2021-21180	vulnerable	vulnerable	fixed	fixed	Use after free in tab search in Google Chrome prior to 89.0.4389.72 al ...
CVE-2021-21179	vulnerable	vulnerable	fixed	fixed	Use after free in Network Internals in Google Chrome on Linux prior to ...
CVE-2021-21178	vulnerable	vulnerable	fixed	fixed	Inappropriate implementation in Compositing in Google Chrome on Linux ...
CVE-2021-21177	vulnerable	vulnerable	fixed	fixed	Insufficient policy enforcement in Autofill in Google Chrome prior to ...
CVE-2021-21176	vulnerable	vulnerable	fixed	fixed	Inappropriate implementation in full screen mode in Google Chrome prio ...
CVE-2021-21175	vulnerable	vulnerable	fixed	fixed	Inappropriate implementation in Site isolation in Google Chrome prior ...
CVE-2021-21174	vulnerable	vulnerable	fixed	fixed	Inappropriate implementation in Referrer in Google Chrome prior to 89. ...
CVE-2021-21173	vulnerable	vulnerable	fixed	fixed	Side-channel information leakage in Network Internals in Google Chrome ...
CVE-2021-21172	vulnerable	vulnerable	fixed	fixed	Insufficient policy enforcement in File System API in Google Chrome on ...
CVE-2021-21171	vulnerable	vulnerable	fixed	fixed	Incorrect security UI in TabStrip and Navigation in Google Chrome on A ...
CVE-2021-21170	vulnerable	vulnerable	fixed	fixed	Incorrect security UI in Loader in Google Chrome prior to 89.0.4389.72 ...
CVE-2021-21169	vulnerable	vulnerable	fixed	fixed	Out of bounds memory access in V8 in Google Chrome prior to 89.0.4389. ...
CVE-2021-21168	vulnerable	vulnerable	fixed	fixed	Insufficient policy enforcement in appcache in Google Chrome prior to ...
CVE-2021-21167	vulnerable	vulnerable	fixed	fixed	Use after free in bookmarks in Google Chrome prior to 89.0.4389.72 all ...
CVE-2021-21166	vulnerable	vulnerable	fixed	fixed	Data race in audio in Google Chrome prior to 89.0.4389.72 allowed a re ...
CVE-2021-21165	vulnerable	vulnerable	fixed	fixed	Data race in audio in Google Chrome prior to 89.0.4389.72 allowed a re ...
CVE-2021-21163	vulnerable	vulnerable	fixed	fixed	Insufficient data validation in Reader Mode in Google Chrome on iOS pr ...
CVE-2021-21162	vulnerable	vulnerable	fixed	fixed	Use after free in WebRTC in Google Chrome prior to 89.0.4389.72 allowe ...
CVE-2021-21161	vulnerable	vulnerable	fixed	fixed	Heap buffer overflow in TabStrip in Google Chrome prior to 89.0.4389.7 ...
CVE-2021-21160	vulnerable	vulnerable	fixed	fixed	Heap buffer overflow in WebAudio in Google Chrome prior to 89.0.4389.7 ...
CVE-2021-21159	vulnerable	vulnerable	fixed	fixed	Heap buffer overflow in TabStrip in Google Chrome prior to 89.0.4389.7 ...
https://security-tracker.debian.org/tra ... e/chromium

mcb

Re: Chromium

Beitrag von mcb » 04.04.2021 21:30:44

cronoik hat geschrieben: ↑ zum Beitrag ↑
15.08.2020 06:12:25
Anmerkung: Ich habe mir die CVE-Chromiumsachen nicht im Detail angesehen und die Frage ist auch ob meine Faehigkeiten eine Bewertung zulassen.
mcb hat geschrieben: ↑ zum Beitrag ↑
14.08.2020 20:02:10
Stimmt davon habe ich nichts. Da hast du völlig recht.... Ich wundere mich halt das der immer so sehr bei den Sicherheitspatches hinter her hingt (Stört das viele Leute nicht?). Kann man meiner Meinung nach gar nicht nehmen.
Also hier stellt sich die Frage was es genau fuer Sicherheitspatches sind. Sind die tatsaechlich kritisch oder als weniger kritisch einzustufen (zum Vertiefen[1]). Angenommen es ist alles in Ordnung, dann sind die von dir gelisteten Sachen als nicht kritisch eingestuft worden. Falls nicht, dann muss hier bei Security mal nachgehaken werden (oder besser selbst Maintainer werden und unterstuetzen), da Chromium auch in den Releasenotes empfohlen wird [2].
mcb hat geschrieben: ↑ zum Beitrag ↑
14.08.2020 20:02:10
Ergo ich suche nach Möglichkeit einen "Chromium" mit "wenig" google der recht zeitnah aktualisiert wird (wie z.B. der mitgelieferte Firefox ESR). Gibt es sowas für Debian Buster ?
Ich zeig mal auf snap [3], bei den Konkurrenten wirst du bestimmt auch fuendig.

[1] https://www.debian.org/security/faq#cvedsa
[2] https://www.debian.org/releases/stable/ ... r-security
[3] https://snapcraft.io/chromium
Ja Danke! Ich habe jetzt das Flatpak installiert - works. :THX:

mcb

Re: [gelöst] Chromium

Beitrag von mcb » 06.04.2021 22:04:16

Out of the blue gab es jetzt ein Update für Buster:

https://security-tracker.debian.org/tra ... e/chromium

Ev. wird es wieder besser - dann könnte man sich den flatpak Quatsch sparen.

Antworten