2017-0964: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2017-06-06 17:03)
- Neues Advisory
- Version 2 (2017-06-07 11:30)
- Für die Red Hat Enterprise Linux 6 Supplementary Produkte Server, Desktop und Workstation steht der Chromium Browser in der Version 59.0.3071.86 als Sicherheitsupdate bereit.
- Version 3 (2017-06-08 11:17)
- Für openSUSE Leap 42.2 und SUSE Package Hub for SUSE Linux Enterprise 12 steht der Chromium Browser in der Version 59.0.3071.86 als Sicherheitsupdate bereit.
- Version 4 (2017-06-15 16:22)
- Für Fedora 24, 25 und 26 stehen Chromium und der Chromium Native Client sowie für Fedora EPEL 7 Chromium jeweils in der Version 59.0.3071.86 als Sicherheitsupdates bereit. Die Updates für Fedora EPEL 7 und Fedora 24 befinden sich im Status 'testing', während diejenigen Fedora 25 und 26 noch 'pending' sind.
- Version 5 (2017-06-20 11:32)
- Die Chromium Browser Pakete der Version 59.0.3071.86 wurden aus den Sicherheitsupdates für Fedora 24, 25 und 26 entfernt und das Sicherheitsupdate für Fedora EPEL 7, welches ohne den Native Client ausgeliefert wurde, in den Status 'obsolete versetzt (Referenz entfernt). Hintergrund ist wahrscheinlich die Veröffentlichung der Chromium Version 59.0.3071.104 und der entsprechenden Sicherheitsupdates für Fedora (siehe gesondertes Advisory). Die Sicherheitsupdates für Fedora 24, 25 und 26 befinden sich durch die Änderung wieder im Status 'pending'.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
In Google Chrome und Chromium vor Version 59.0.3071.86 existieren 30 Schwachstellen, von denen Google nur die 16 explizit auflistet, die von externen Sicherheitsforschern entdeckt wurden. Die aufgeführten Schwachstellen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes oder beliebiger Befehle, das Darstellen falscher und das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen, die Durchführung von Denial-of-Service (DoS)-Angriffen und weitere, nicht spezifizierte Angriffe. Fünf der aufgelisteten Schwachstellen stuft der Hersteller in Bezug auf die Kritikalität als 'hoch' ein.
Google veröffentlicht das Chrome Stable Channel Update for Desktop 59.0.3071.86 für Windows, Macintosh (Mac OS X und macOS Sierra) und Linux als Sicherheitsupdate zur Behebung dieser Schwachstellen. Dies ist die erste veröffentlichte Version von Chrome 59.
Schwachstellen:
CVE-2017-5070
Schwachstelle in V8 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-5071
Schwachstelle in V8 ermöglicht Denial-of-Service-AngriffCVE-2017-5072 CVE-2017-5076 CVE-2017-5086
Schwachstellen in Omnibox ermöglichen Darstellen falscher InformationenCVE-2017-5073
Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-5074
Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-5075
Schwachstelle in Google Chrome und Chromium ermöglicht Ausspähen von InformationenCVE-2017-5077
Schwachstelle in Google Chrome und Chromium ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-5078
Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebiger ProgrammbefehleCVE-2017-5079 CVE-2017-5083
Schwachstellen in Google Chrome und Chromium ermöglichen Darstellen falscher InformationenCVE-2017-5080
Schwachstelle in Google Chrome und Chromium ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-5081
Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-5082
Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte AngriffeCVE-2017-5085
Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.