2018-1484: Qutebrowser: Zwei Schwachstellen ermöglichen u. a. einen Cross-Site-Request-Forgery-Angriff

Historie:

Version 1 (2018-07-30 14:06)

Neues Advisory

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im Qutebrowser ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und dadurch Informationen über die Browser-Historie eines Benutzers auszuspähen. Eine zweite Schwachstelle ermöglicht einem solchen Angreifer die Durchführung eines Cross-Site-Request-Forgery (CSRF)-Angriffs und in der Folge die Ausführung beliebigen Programmcodes.

Für die Distribution openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Verfügung, welches die beiden Schwachstellen adressiert. Das für openSUSE Leap 42.3 bereitstehende Sicherheitsupdate korrigiert nur die Cross-Site-Scripting-Schwachstelle CVE-2018-1000559, da hier ein anderer Versionszweig eingesetzt wird.

Schwachstellen:

CVE-2018-1000559

Schwachstelle in Qutebrowser ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-10895

Schwachstelle in Qutebrowser ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.