2018-0177: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-01-25 15:52): Neues Advisory
Version 2 (2018-01-29 10:35): Für openSUSE Leap 42.3 steht Chromium 64.0.3282.119 als Sicherheitsupdate bereit.
Version 3 (2018-02-01 10:58): Für SUSE Package Hub for SUSE Linux Enterprise 12 steht ein Sicherheitsupdate auf die Chromium Version 64.0.3282.119 zur Behebung der Schwachstellen bereit.
Version 4 (2018-02-01 12:37): Debian stellt für die die stabile Distribution Stretch ein Sicherheitsupdate auf die Chromium Version 64.0.3282.119 zur Behebung dieser Schwachstellen bereit. Zusätzlich wird die bereits mit dem Chrome Stable Channel Update vom 14. Dezember 2017 behobene Schwachstelle CVE-2017-15429 adressiert, welche einen Cross-Site-Scripting (XSS)-Angriff ermöglicht. Für die alte stabile Distribution Jessie wurde der Security Support für Chromium eingestellt.
Version 5 (2018-02-02 11:19): Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 Produktvarianten Server, Workstation und Desktop Sicherheitsupdates auf die Chromium Version 64.0.3282.119, um die Schwachstellen zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen, die Durchführung von Denial-of-Service (DoS)-Angriffen und das Ausspähen von Informationen. Eine weitere Schwachstelle ermöglicht dem Angreifer einen Cross-Site-Scripting (XSS)-Angriff.

Google veröffentlicht das Chrome Stable Channel Update for Desktop 64.0.3282.119 für Windows, macOS und Linux als Sicherheitsupdate zur Behebung der Schwachstellen. In dieser Version werden auch erstmalig zusätzliche Vorkehrungen getroffen, um die Ausnutzung der bekannten Schwachstellen Meltdown und Spectre zu erschweren. Zu den Vorkehrungen zählt die stärkere Isolation von Webseiten untereinander sowie die Herabsetzung der Genauigkeit von Zeitgebern (Timer), welche z.B. mit Hilfe von JavaScript oder WebAssembly genutzt werden können.

Schwachstellen:

CHROMIUM-ISSUE-773161

Schwachstelle in Google Chrome ermöglicht Darstellung falscher Informationen

CHROMIUM-ISSUE-773952

Schwachstelle in GLES ermöglicht u.a. Denial-of-Service-Angriff

CVE-2018-6031

Schwachstelle in PDFium ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6032

Schwachstelle in Shared Worker ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6033

Schwachstelle in Google Chrome und Chromium ermöglicht vermutlich Umgehen von Sicherheitsvorkehrungen

CVE-2018-6034

Schwachstelle in Blink ermöglicht u.a. Denial-of-Service-Angriff

CVE-2018-6035 CVE-2018-6045 CVE-2018-6046

Schwachstellen in Google Chrome ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2018-6036

Schwachstelle in WebAssembly ermöglicht u.a. Denial-of-Service-Angriff

CVE-2018-6037

Schwachstelle in autofill ermöglicht Ausspähen von Informationen

CVE-2018-6038

Schwachstelle in WebGL ermöglicht u.a. Denial-of-Service-Angriff

CVE-2018-6039

Schwachstelle in DevTools ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-6040

Schwachstelle in Google Chrome ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6041

Schwachstelle in Google Chrome ermöglicht Darstellen falscher Informationen

CVE-2018-6042

Schwachstelle in OmniBox ermöglicht Darstellen falscher Informationen

CVE-2018-6043

Schwachstelle in Google Chrome ermöglicht vermutlich Ausspähen von Informationen

CVE-2018-6047

Schwachstelle in WebGL ermöglicht Ausspähen von Informationen

CVE-2018-6048

Schwachstelle in Blink ermöglicht u.a. Umgehen von Sicherheitsvorkehrungen

CVE-2018-6049

Schwachstelle in Permissions ermöglicht Darstellung falscher Informationen

CVE-2018-6050 CVE-2017-15420

Schwachstellen in Omnibox ermöglichen Darstellen falscher Informationen

CVE-2018-6051

Schwachstelle in XSS Auditor ermöglicht Ausspähen von Informationen

CVE-2018-6052