DFN-CERT

Advisory-Archiv

2017-2152: QtWebEngine: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-12-04 10:34)
Neues Advisory

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Eine Vielzahl von Schwachstellen in der auf Chromium aufbauenden QtWebEngine ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Angriffe: Mehrere Schwachstellen ermöglichen dem Angreifer die Ausführung beliebigen Programmcodes, Denial-of-Service (DoS)-Angriffe und die Darstellung falscher Informationen. Eine Schwachstelle ermöglicht einen Universal-Cross-Site-Scripting (UXSS)-Angriff, eine weitere das Umgehen von Sicherheitsvorkehrungen und eine Schwachstelle ermöglicht nicht genauer spezifizierte Angriffe.

Für Fedora 25, 26 und 27 steht QtWebEngine in der Version 5.9.3 als Sicherheitsupdate im Status 'testing' bereit, mit dem Schwachstellen aus Chromium bis hin zu der Version 62.0.3202.89 behoben werden.

Schwachstellen:

CVE-2017-15386

Schwachstelle in Blink ermöglicht Darstellen falscher Informationen

CVE-2017-15387

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-15388

Schwachstelle in Skia ermöglicht Denial-of-Service-Angriff

CVE-2017-15390

Schwachstelle in Omnibox ermöglicht Darstellen falscher Informationen

CVE-2017-15392

Schwachstelle in Google Chrome und Chromium PlatformIntegration ermöglicht nicht spezifizierte Angriffe

CVE-2017-15394

Schwachstelle in Extensions UI ermöglicht Darstellen falscher Informationen

CVE-2017-15396

Schwachstelle in V8 ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-15398

Schwachstelle in QUIC ermöglicht u.a. Ausführung beliebigen Programmcodes

CVE-2017-5124

Schwachstelle in Google Chrome und Chromium ermöglicht Universal-Cross-Site-Scripting (UXSS)-Angriff

CVE-2017-5126 CVE-2017-5127

Schwachstellen in PDFium ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-5128

Schwachstelle in WebGL ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5129

Schwachstelle in Webaudio ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5132

Schwachstelle in WebAssembly ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5133

Schwachstelle in Skia ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.