DFN-CERT

Advisory-Archiv

2017-1975: Chrome OS: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung betroffener Systeme

Historie:

Version 1 (2017-11-07 16:36)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Chrome OS ausnutzen, um ein betroffenes System komplett zu kompromittieren. Die Schwachstelle wird von Google mit dem höchstmöglichen Schweregrad eingestuft, ermöglicht also beispielsweise die persistente Kompromittierung eines Geräts im Gastmodus über den Besuch einer speziell präparierten Webseite. Mehrere weitere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen, einen Denial-of-Service (DoS)-Angriff und möglicherweise die Eskalation von Privilegien, einem nicht authentisierten Angreifer im benachbarten Netzwerk die Ausführung beliebiger Kommandos und einem lokalen, nicht authentisierten Angreifer ebenfalls die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen und möglicherweise weitere Angriffe.

Google stellt nachträglich Sicherheitsinformationen zur bereits am 27.10.2017 veröffentlichten Chrome OS Version 62.0.3202.74 (Plattform Version: 9901.54.0/1) zur Verfügung. Aufgrund des Schweregrads einer der jetzt bekannt gewordenen Schwachstellen sollte dieses Sicherheitsupdate zeitnah eingespielt werden. Das Update enthält zusätzlich einige Bugfixes sowie funktionale Verbesserungen und behebt die unter dem Namen 'KRACK' bekannten Schwachstellen im WPA2-Protokoll (siehe gesonderter Sicherheitshinweis).

Schwachstellen:

CHROME-BUG-ID-766253

Schwachstelle in Chrome OS ermöglicht komplette Kompromittierung des Systems

CVE-2017-13077

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13078

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13079

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13080

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13081

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13082

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13084

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13086

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13087

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13088

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-15397

Schwachstelle in ChromeVox ermöglicht Ausspähen von Informationen

CVE-2017-15400

Schwachstelle in Zeroconf-Implementierung ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-15401

Schwachstelle in V8 ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-15402

Schwachstelle in PageState ermöglicht Privilegieneskalation

CVE-2017-15403

Schwachstelle in network_diag ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-15404

Schwachstelle in crash_reporter ermöglicht u.a. Ausspähen von Informationen

CVE-2017-15405

Schwachstelle in cryptohomed ermöglicht u.a. Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.