2018-0879: Chromium: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-05-09 20:03)

Neues Advisory

Version 2 (2018-05-28 12:07)

Für SUSE Package Hub for SUSE Linux Enterprise 12 stehen erneut Sicherheitsupdates für Chromium, diesmal auf die Version 66.0.3359.181 bereit. Diese Sicherheitsupdates beheben zusätzlich die Schwachstellen CVE-2018-6120, CVE-2018-6121 und CVE-2018-6122. Im Kontext der beiden letztgenannten erscheint durch eine Verkettung (Chain) von Aktionen ein Ausbruch aus der Sandbox und damit das Umgehen von Sicherheitsvorkehrungen möglich. Dieses Verhalten, dem keine Schwachstellen-ID (CVE) zugewiesen wurde, wird als kritisch eingestuft. Die beiden im Kontext genannten Schwachstellen werden allerdings 'nur' als hoch bewertet.

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Chromium ermöglichen es einem zumeist entfernten und nicht authentisierten Angreifer, beliebigen Programmcode zur Ausführung zu bringen, Informationen auszuspähen, falsche Informationen darzustellen, Daten zu manipulieren, Sicherheitsvorkehrungen zu umgehen und Denial-of-Service (DoS)-Angriffe sowie einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Mehrere Schwachstellen ermöglichen dem Angreifer nicht spezifizierte Angriffe.

Für SUSE Package Hub for SUSE Linux Enterprise 12 steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen behoben werden. Chromium wird mit diesem Update von Version 64.0.3282.167 auf Version 66.0.3359.139 aktualisiert. Damit werden auch Mitigationen gegen die Spectre-Schwachstellen umgesetzt (Strict Site Isolation), die über im Sicherheitshinweis näher spezifizierte Einstellungen aktiviert werden können.

Schwachstellen:

CVE-2017-11215

Schwachstelle in Adobe Flash Player ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-11225

Schwachstelle in Adobe Flash Player ermöglicht Ausführen beliebigen Programmcodes

CVE-2018-6057

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6060

Schwachstelle in Blink ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6061

Schwachstelle in V8 ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6062

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6063

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6064

Schwachstelle in V8 ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6065

Schwachstelle in V8 ermöglicht vermutlich Ausführung beliebigen Programmcodes

CVE-2018-6066

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6067

Schwachstelle in Skia ermöglicht vermutlich u.a. Ausspähen von Informationen

CVE-2018-6068

Schwachstelle in Google Chrome und Chromium ermöglicht vermutlich Ausspähen von Informationen

CVE-2018-6069

Schwachstelle in Skia ermöglicht vermutlich u.a. Ausspähen von Informationen

CVE-2018-6070

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6071

Schwachstelle in Skia ermöglicht vermutlich u.a. Ausspähen von Informationen

CVE-2018-6072

Schwachstelle in PDFium ermöglicht vermutlich Denial-of-Service (DoS)-Angriff

CVE-2018-6073

Schwachstelle in WebGL ermöglicht vermutlich u.a. Ausspähen von Informationen

CVE-2018-6074

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6075

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6076

Schwachstelle in Blink ermöglicht Darstellen falscher Informationen

CVE-2018-6077

Schwachstelle in Google Chrome und Chromium ermöglicht vermutlich Ausspähen von Informationen

CVE-2018-6078

Schwachstelle in OmnibBox ermöglicht Darstellen falscher Informationen

CVE-2018-6079

Schwachstelle in WebGL ermöglicht Ausspähen von Informationen

CVE-2018-6080

Schwachstelle in Google Chrome und Chromium ermöglicht Ausspähen von Informationen

CVE-2018-6081

Schwachstelle in Google Chrome und Chromium ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-6082

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6083

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2018-6085

Schwachstelle in Disk Cache ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6086

Schwachstelle in Disk Cache ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6087

Schwachstelle in WebAssembly ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6088

Schwachstelle in PDFium ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6089

Schwachstelle in Service Worker ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6090

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6091

Schwachstelle in Service Worker ermöglicht nicht spezifizierte Angriffe

CVE-2018-6092

Schwachstelle in WebAssembly ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6093

Schwachstelle in Service Worker ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6094

Schwachstelle in Oilpan ermöglicht nicht spezifizierte Angriffe

CVE-2018-6095

Schwachstelle in Google Chrome und Chromium ermöglicht Offenlegung von Informationen

CVE-2018-6096

Schwachstelle in Google Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2018-6097

Schwachstelle in Google Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2018-6098

Schwachstelle in OmnibBox ermöglicht Darstellen falscher Informationen

CVE-2018-6099

Schwachstelle in Service Worker ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6100

Schwachstelle in OmnibBox ermöglicht Darstellen falscher Informationen

CVE-2018-6101

Schwachstelle in DevTools ermöglicht nicht spezifizierte Angriffe

CVE-2018-6102

Schwachstelle in OmnibBox ermöglicht Darstellen falscher Informationen

CVE-2018-6103

Schwachstelle in Permissions ermöglicht Darstellen falscher Informationen

CVE-2018-6104

Schwachstelle in OmnibBox ermöglicht Darstellen falscher Informationen

CVE-2018-6105

Schwachstelle in OmnibBox ermöglicht Darstellen falscher Informationen

CVE-2018-6106

Schwachstelle in V8 ermöglicht nicht spezifizierte Angriffe

CVE-2018-6107

Schwachstelle in OmnibBox ermöglicht Darstellen falscher Informationen

CVE-2018-6108

Schwachstelle in OmnibBox ermöglicht Darstellen falscher Informationen

CVE-2018-6109

Schwachstelle in FileAPI ermöglicht Offenlegung von Informationen

CVE-2018-6110

Schwachstelle in Google Chrome und Chromium ermöglicht Offenlegung von Informationen

CVE-2018-6111

Schwachstelle in DevTools ermöglicht Denial-of-Service-Angriff

CVE-2018-6112

Schwachstelle in DevTools ermöglicht nicht spezifizierte Angriffe

CVE-2018-6113

Schwachstelle in Navigation ermöglicht Darstellen falscher Informationen

CVE-2018-6114

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6115

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6116

Schwachstelle in WebAssembly ermöglicht nicht spezifizierte Angriffe

CVE-2018-6117

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2018-6118

Schwachstelle in Media Cache ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6120

Schwachstelle in PDFium ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6121

Schwachstelle in Chrome ermöglicht Privilegieneskalation

CVE-2018-6122

Schwachstelle in V8 ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.