2018-0730: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-04-18 20:47)

Neues Advisory

Version 2 (2018-04-23 13:19)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für Chromium auf die Version 66.0.3359.117 bereit, um 33 Schwachstellen zu beheben.

Version 3 (2018-04-23 19:01)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 Produktvarianten Server, Workstation und Desktop Sicherheitsupdates auf die Chromium Version 66.0.3359.117. Die verfügbaren Sicherheitsupdates beheben 32 der hier aufgeführten Schwachstellen, die Schwachstelle CVE-2018-6085 sowie die MacOS-spezifische Schwachstelle CVE-2018-6115 werden in der Sicherheitsmeldung nicht referenziert.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Google Chrome und Chromium ermöglichen einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu bringen, Informationen auszuspähen, falsche Informationen darzustellen sowie Denial-of-Service (DoS)-Angriffe durchzuführen.

Google veröffentlicht für die Betriebssysteme Linux, Windows und macOS die Chrome Browser Version 66.0.3359.117 und behebt damit insgesamt 62 Schwachstellen, von denen die hier aufgelisteten 34 Schwachstellen von externen Sicherheitsforschern entdeckt wurden. Zwei der behobenen Schwachstellen werden vom Hersteller als kritisch eingestuft.

Google stellt zum jetzigen Zeitpunkt nur wenig Informationen zu den Schwachstellen bereit, weshalb bei mehreren Schwachstellen weder der Angreifer noch die Auswirkungen einer Ausnutzung der Schwachstelle genau spezifiziert werden können. Google wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat, da mit der Veröffentlichung weiterer Informationen die Wahrscheinlichkeit der Ausnutzung dieser Schwachstellen steigt.

Schwachstellen:

CVE-2018-6084

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2018-6085 CVE-2018-6086

Schwachstellen in Disk Cache ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-6087

Schwachstelle in WebAssembly ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6088

Schwachstelle in PDFium ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6089 CVE-2018-6093

Schwachstellen in Service Worker ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2018-6090

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6091

Schwachstelle in Service Worker ermöglicht nicht spezifizierte Angriffe

CVE-2018-6092

Schwachstelle in WebAssembly ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6094

Schwachstelle in Oilpan ermöglicht nicht spezifizierte Angriffe

CVE-2018-6095

Schwachstelle in Google Chrome und Chromium ermöglicht Offenlegung von Informationen

CVE-2018-6096 CVE-2018-6097

Schwachstellen in Google Chrome und Chromium ermöglichen Darstellen falscher Informationen

CVE-2018-6098 CVE-2018-6100 CVE-2018-6102 CVE-2018-6104 CVE-2018-6105 CVE-2018-6107 CVE-2018-6108

Schwachstellen in OmniBox ermöglichen Darstellen falscher Informationen

CVE-2018-6099

Schwachstelle in Service Worker ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6101

Schwachstelle in DevTools ermöglicht nicht spezifizierte Angriffe

CVE-2018-6103

Schwachstelle in Permissions ermöglicht Darstellen falscher Informationen

CVE-2018-6106

Schwachstelle in V8 ermöglicht nicht spezifizierte Angriffe

CVE-2018-6109

Schwachstelle in FileAPI ermöglicht Offenlegung von Informationen

CVE-2018-6110

Schwachstelle in Google Chrome und Chromium ermöglicht Offenlegung von Informationen

CVE-2018-6111

Schwachstelle in DevTools ermöglicht Denial-of-Service-Angriff

CVE-2018-6112

Schwachstelle in DevTools ermöglicht nicht spezifizierte Angriffe

CVE-2018-6113

Schwachstelle in Navigation ermöglicht Darstellen falscher Informationen

CVE-2018-6114

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6115

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6116

Schwachstelle in WebAssembly ermöglicht nicht spezifizierte Angriffe

CVE-2018-6117

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.