2018-0905: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. die Eskalation von Privilegien

Historie:

Version 1 (2018-05-11 14:52)

Neues Advisory

Version 2 (2018-05-14 12:20)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für Chromium auf Version 66.0.3359.170 zur Verfügung, um diese Schwachstellen zu beheben.

Version 3 (2018-05-15 12:00)

Für Red Hat Enterprise Linux 6 Supplementary stehen Sicherheitsupdates bereit, mit denen Chromium auf Version 66.0.3359.170 aktualisiert wird. Die Updates stehen damit für Red Hat Enterprise Linux Desktop, Server und Workstation 6 zur Verfügung.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Insgesamt vier Schwachstellen in Google Chrome und Chromium, von denen drei durch externe Sicherheitsforscher entdeckt wurden, ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausweitung von Berechtigungen und wahrscheinlich die Ausführung beliebigen Programmcodes.

Im Kontext von zwei Schwachstellen (CVE-2018-6121, CVE-2018-6122) scheint eine Verkettung (Chain) von Aktionen einen Ausbruch aus der Sandbox und damit das Umgehen von Sicherheitsvorkehrungen zu ermöglichen. Dieses Verhalten, dem keine Schwachstellen-ID (CVE) zugewiesen wurde, wird als kritisch eingestuft. Die beiden im Kontext genannten Schwachstellen werden allerdings 'nur' als hoch bewertet.

Zur Behebung der Schwachstellen steht die Chrome Browser Version 66.0.3359.170 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.

Schwachstellen:

CVE-2018-6120

Schwachstelle in PDFium ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6121

Schwachstelle in Chrome ermöglicht Privilegieneskalation

CVE-2018-6122

Schwachstelle in V8 ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.