2017-1902: Google Chrome, Chromium: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-10-27 11:37)

Neues Advisory

Version 2 (2017-10-30 10:53)

Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates auf die Chromium Version 62.0.3202.75 bereit. Neben der hier aufgeführten Schwachstelle werden auch die 20 öffentlich gemachten Schwachstellen, die in der vorhergehenden Chromium Version 62.0.3202.62 behoben wurden, in dem openSUSE Security Update referenziert, da für diese kein Update von openSUSE veröffentlicht wurde. Zu den Angriffen, die über die 20 weiteren Schwachstellen möglich sind, gehören das Ausführen beliebigen Programmcodes, das Darstellen falscher Informationen, das Umgehen von Sicherheitsvorkehrungen, die Durchführung von Denial-of-Service (DoS)-Angriffen, das Ausspähen von Informationen und die Durchführung eines Universal-Cross-Site-Scripting (UXSS)-Angriffs.

Version 3 (2017-11-01 10:48)

Für die Red Hat Enterprise Linux 6 Supplementary Produktvarianten Server, Workstation und Desktop wird der Chromium Browser zur Behebung der Schwachstelle auf die Version 62.0.3202.75 aktualisiert.

Version 4 (2017-11-07 12:10)

Für Fedora 25, 26 und 27 stehen Sicherheitsupdate auf Chromium 62.0.3202.75 im Status 'testing' zur Verfügung. Debian stellt für die stabile Distribution Stretch ebenfalls ein Sicherheitsupdate auf diese Version bereit. Mit diesen Sicherheitsupdates werden auch zahlreiche Schwachstellen aus vorangegangenen Sicherheitsupdates behoben, für die es für die genannten Distributionen bisher keine Updates gab. Debian weist darauf hin, dass Chromium für Debian Jessie nicht weiter aktualisiert wird.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in der Komponente V8 von Google Chrome ausnutzen, um den Stack-basierten Pufferspeicher zum Überlauf zu bringen (Stack Buffer Overflow) und so einen Denial-of-Service (DoS)-Angriff durchführen oder beliebigen Programmcode zur Ausführung bringen.

Google veröffentlicht das Chrome Stable Channel Update for Desktop 62.0.3202.75 für Windows, Macintosh (Mac OS X und macOS Sierra) sowie Linux als Sicherheitsupdate zur Behebung der Schwachstelle. Die Kritikalität der Schwachstelle wird vom Hersteller mit 'high' bewertet.

Schwachstellen:

CVE-2017-15396

Schwachstelle in V8 ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.