2018-1466: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-07-25 18:29)

Neues Advisory

Version 2 (2018-07-27 14:05)

Debian veröffentlicht für die stabile Distribution Stretch Sicherheitsupdates auf die Chromium Browser Version 68.0.3440.75.

Version 3 (2018-07-30 11:00)

Für SUSE Package Hub for SUSE Linux Enterprise 12 sowie die Distributionen openSUSE Leap 15.0 und openSUSE Leap 42.3 stehen Sicherheitsupdates auf die Chromium Version 68.0.3440.75 bereit, um die Schwachstellen zu beheben.

Version 4 (2018-07-31 12:08)

Für Red Hat Enterprise Linux Server, Workstation und Desktop 6 steht ein Sicherheitsupdate für 'chromium-browser' auf Version 68.0.3440.75 bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Google Chrome und Chromium können vermutlich vorwiegend von einem entfernten, nicht authentisierten Angreifer beispielsweise mit Hilfe speziell präparierter Webseiten oder Browsererweiterungen ausgenutzt werden. Die Schwachstellen ermöglichen dem Angreifer unter anderem die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen, das Ausspähen von Informationen, die Eskalation von Berechtigungen sowie die Durchführung von Denial-of-Service (DoS)-Angriffen.

Zur Behebung der insgesamt 42 aktuellen Schwachstellen, von denen 29 durch externe Sicherheitsforscher oder durch das Google Project Zero entdeckt wurden, steht Chrome in der Version 68.0.3440.75 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat. Fünf der bisher bekannten Schwachstellen sind mit dem Schweregrad 'high' bewertet. Google informiert zusätzlich über weitere Schwachstellen, die bereits in Chrome 66 behoben, dort aber nicht erwähnt wurden.

Weiterhin weist Google darauf hin, dass beginnend mit Chrome 68 alle Webseiten, die über HTTP statt HTTPS aufgerufen werden, vom Browser als unsicher (Not Secure) gekennzeichnet werden. Dieser Hinweis wird ab sofort in der Adresszeile des Browsers angezeigt.

Schwachstellen:

CVE-2018-4117

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-6044

Schwachstelle in Chrome Extensions ermöglicht Privilegieneskalation

CVE-2018-6153

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6154 CVE-2018-6162

Schwachstellen in WebGL ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-6155

Schwachstelle in WebRTC ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-6156

Schwachstelle in WebRTC ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6157

Schwachstelle in WebRTC ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6158

Schwachstelle in Blink ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-6159 CVE-2018-6164

Schwachstellen in ServiceWorker ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2018-6160

Schwachstelle in Chrome ermöglicht Darstellen falscher Informationen

CVE-2018-6161

Schwachstelle in WebAudio ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6163 CVE-2018-6165 CVE-2018-6166 CVE-2018-6167 CVE-2018-6172 CVE-2018-6173 CVE-2018-6175

Schwachstellen in Omnibox ermöglichen Darstellung falscher Informationen

CVE-2018-6168

Schwachstelle in Blink ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-6169

Schwachstelle in Chrome ermöglicht Privilegieneskalation

CVE-2018-6170

Schwachstelle in PDFium ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-6171

Schwachstelle in WebBluetooth ermöglicht Denial-of-Service-Angriff

CVE-2018-6174

Schwachstelle in SwiftShader ermöglicht Denial-of-Service-Angriff

CVE-2018-6176

Schwachstelle in Chrome Extensions ermöglicht Privilegieneskalation

CVE-2018-6177

Schwachstelle in Blink ermöglicht Ausspähen von Informationen

CVE-2018-6178

Schwachstelle in Chrome Extensions ermöglicht Darstellen falscher Informationen

CVE-2018-6179

Schwachstelle in Chrome Extensions ermöglicht Ausspähen von Informationen

GOOGLE-BUG-ID-866821

Schwachstellen in Google Chrome und Chromium ermöglichen nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.