2018-1028: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-05-30 17:25)
- Neues Advisory
- Version 2 (2018-06-01 13:15)
- Für openSUSE Leap 42.3, openSUSE Leap 15.0 und SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates für Chromium auf Version 67.0.3396.62 bereit, um diese Schwachstellen zu beheben. openSUSE nennt dabei im Text fälschlich die Chromium Version 66.0.3359.181.
- Version 3 (2018-06-08 12:34)
- Für Red Hat Enterprise Linux 6 Supplementary stehen Sicherheitsupdates bereit, mit denen Chromium auf Version 67.0.3396.62 aktualisiert wird. Die Updates stehen damit für Red Hat Enterprise Linux Desktop, Server und Workstation 6 zur Verfügung.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Insgesamt 34 Schwachstellen existieren in Google Chrome und Chromium, von denen 24 durch externe Sicherheitsforscher entdeckt wurden. 9 dieser Schwachstellen sind mit 'high' bewertet. Viele der Schwachstellen können vermutlich von einem entfernten, nicht authentisierten Angreifer, z.B. mit Hilfe einer manipulierten Website oder Chrome-Erweiterung, ausgenutzt werden und ermöglichen dem Angreifer unter anderem die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen, das Ausspähen von Informationen sowie die Durchführung von Denial-of-Service (DoS)-Angriffen.
Zur Behebung der Schwachstellen steht die Chrome Browser Version 67.0.3396.62 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.
Weiterhin weist Google darauf hin, dass 'Site Isolation' nun für einen größeren Prozentsatz der stabilen Population in Chrome 67 ausgerollt wird. 'Site Isolation' verbessert die Sicherheit von Chrome und hilft bei der Mitigation von durch 'Spectre' verursachten Risiken. Um festzustellen, ob ein Problem durch 'Site Isolation' verursacht wird, kann diese durch 'chrome://flags#site-isolation-trial-opt-out' versuchsweise abgeschaltet werden.
Schwachstellen:
CHROMIUM-ISSUE-847542
Schwachstellen in Chrome ermöglichen nicht spezifizeire AngriffeCVE-2018-6123
Schwachstelle in Blink ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-6124
Schwachstelle in Blink ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-6125
Schwachstelle in WebUSB ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-6126
Schwachstelle in Skia ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-6127
Schwachstelle in indexedDB ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-6128
Schwachstelle in Chrome ermöglicht Cross-Site-Scripting-AngriffCVE-2018-6129 CVE-2018-6130
Schwachstellen in WebRTC ermöglichen u.a. Denial-of-Service-AngriffeCVE-2018-6131
Schwachstelle in WebAssembly ermöglicht nicht spezifizierte AngriffeCVE-2018-6132
Schwachstelle in WebRTC ermöglicht Ausspähen von InformationenCVE-2018-6133
Schwachstelle in Omnibox ermöglicht Darstellen falscher InformationenCVE-2018-6134
Schwachstelle in Blink ermöglicht Ausspähen von InformationenCVE-2018-6135
Schwachstelle in Blink ermöglicht Darstellen falscher InformationenCVE-2018-6136
Schwachstelle in V8 ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-6137
Schwachstelle in Blink ermöglicht Ausspähen von InformationenCVE-2018-6138
Schwachstelle in Chrome Extentions ermöglicht Ausspähen von InformationenCVE-2018-6139 CVE-2018-6140
Schwachstellen in Debugger-Extention-API ermöglichen Umgehen von SicherheitsvorkehrungenCVE-2018-6141
Schwachstelle in Skia ermöglicht Denial-of-Service-AngriffCVE-2018-6142 CVE-2018-6143
Schwachstellen in V8 ermöglichen u.a. Denial-of-Service-AngriffCVE-2018-6144
Schwachstelle in PDFium ermöglicht Denial-of-Service-AngriffCVE-2018-6145
Schwachstelle in Blink ermöglicht nicht spezifizierte AngriffeCVE-2018-6147
Schwachstelle in MacViews ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.