2017-1287: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-07-26 12:15)

Neues Advisory

Version 2 (2017-07-31 11:36)

Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates auf die Chromium Version 60.0.3112.78 bereit, um die Schwachstellen und einige Bugs zu beheben.

Version 3 (2017-08-01 11:05)

Für die Red Hat Enterprise Linux Supplementary 6 Produktvarianten Server, Desktop und Workstation steht der Chromium Browser in der Version 60.0.3112.78 als Sicherheitsupdate bereit.

Version 4 (2017-08-07 11:44)

Debian stellt für die stabile Distribution Stretch den Chromium Browser in der Version 60.0.3112.78 als Sicherheitsupdate bereit. Da für die Behebung der Schwachstellen CVE-2017-5087, CVE-2017-5088 und CVE-2017-5089, die mit der Chromium Version 59.0.3071.104 entsprechend dem Chrome Stable Channel Update vom 15 Juni 2017 korrigiert wurden, kein Update von Debian bereitgestellt wurde, werden diese Schwachstellen in dem Debian Advisory ebenfalls referenziert.

Version 5 (2017-08-16 11:42)

Für Fedora 25 und 26 sowie Fedora EPEL 7 steht der Chromium Browser in der Version 60.0.3112.90 als Sicherheitsupdate im Status 'testing bereit.

Version 6 (2017-08-21 12:05)

Für Fedora 25 und Fedora EPEL 7 steht nun der Chromium Browser in der Version 60.0.3112.101 als Sicherheitsupdate erneut im Status 'testing bereit, um die Schwachstellen zu beheben. Die vorherigen Sicherheitsupdates auf die Version 60.0.3112.90 (FEDORA-2017-f50b903bb4, FEDORA-EPEL-2017-d600d0059a) wurden in den Status 'obsolete' überführt und deshalb entfernt, während das betreffende für Fedora 26 sich inzwischen im Status 'stable' befindet.

Version 7 (2017-09-01 11:17)

Für Fedora 25 und Fedora EPEL 7 steht nun der Chromium Browser in der Version 60.0.3112.113 erneut als Sicherheitsupdate zur Verfügung. Das Update für Fedora 25 befindet sich noch im Status 'pending', während das Sicherheitsupdate für Fedora EPEL 7 im Status 'testing bereitsteht. Die vorherigen Sicherheitsupdates auf die Version 60.0.3112.101 (FEDORA-2017-df343b3e09, FEDORA-EPEL-2017-4a0b7bf8d6) wurden in den Status 'obsolete' überführt und deshalb entfernt.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

In Google Chrome und Chromium vor Version 60.0.3112.78 existieren 40 Schwachstellen, von denen Google nur die 21 explizit auflistet, die von externen Sicherheitsforschern entdeckt wurden. Die aufgeführten Schwachstellen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes oder beliebiger Befehle, das Darstellen falscher und das Ausspähen von Informationen und die Durchführung von Denial-of-Service (DoS)-Angriffen. Neun der aufgelisteten Schwachstellen stuft der Hersteller in Bezug auf die Kritikalität als 'hoch' ein.

Google veröffentlicht das Chrome Stable Channel Update for Desktop 60.0.3112.78 für Windows, Macintosh (Mac OS X und macOS Sierra) und Linux als Sicherheitsupdate zur Behebung dieser Schwachstellen. Dies ist die erste veröffentlichte Version von Chrome 60. Auch wenn Google das Android Operating System nicht explizit als Plattform aufführt betrifft die Schwachstelle CVE-2017-5096 ausschließlich dieses.

Schwachstellen:

CVE-2017-5091

Schwachstelle in IndexedDB ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-5092

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-5093

Schwachstelle in Blink ermöglicht Darstellen falscher Informationen

CVE-2017-5094

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5095

Schwachstelle in PDFium ermöglicht u.a. Ausführung beliebigen Programmcodes

CVE-2017-5096

Schwachstelle in Google Chrome für Android ermöglicht Ausspähen von Informationen

CVE-2017-5097

Schwachstelle in Skia ermöglicht Denial-of-Service-Angriff

CVE-2017-5098

Schwachstelle in V8 ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5099

Schwachstelle in Google Chrome und Chromium ermöglicht u.a. Ausführung beliebigen Programmcodes

CVE-2017-5100

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5101 CVE-2017-5105 CVE-2017-5106

Schwachstellen in Omnibox ermöglichen Darstellen falscher Informationen

CVE-2017-5102 CVE-2017-5103

Schwachstellen in Skia ermöglichen u.a. Denial-of-Service-Angriffe

CVE-2017-5104 CVE-2017-5109

Schwachstellen in Google Chrome und Chromium ermöglichen Darstellen falscher Informationen

CVE-2017-5107

Schwachstelle in Google Chrome und Chromium ermöglicht Ausspähen von Informationen

CVE-2017-5108

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5110

Schwachstelle in Google Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2017-7000

Schwachstelle in SQLite ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.