2018-1663: WebKitGTK+: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-08-17 13:58): Neues Advisory
Version 2 (2018-09-20 13:08): Für SUSE Linux Enterprise Module for Desktop Applications 15 und Module for Basesystem 15 stehen Updates für das Paket 'webkit2gtk3' auf Version 20.5.2 zur Behebung der Schwachstellen bereit.
Version 3 (2018-09-21 17:46): Für die Distribution openSUSE Leap 15.0 steht ein Sicherheitsupdate auf die webkit2gtk3 Version 2.20.5 zur Verfügung, mit dem 14 der hier referenzierten Schwachstellen behoben werden. Die Schwachstelle CVE-2018-4246 führt openSUSE in der Meldung nicht auf.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in WebKitGTK+ ermöglichen einem entfernten, nicht authentisierten Angreifer mittels manipulierter Webseiten und Webinhalte die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen und die Durchführung von Denial-of-Service (DoS)-Angriffen.

Der Hersteller informiert mit WebKitGTK+ Security Advisory WSA-2018-0006 über die Schwachstellen und behebt diese mit dem WebKitGTK+ Release 2.20.4.

Canonical stellt für Ubuntu 16.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates bereit, um die Schwachstellen zu beheben. Die Schwachstelle CVE-2018-4271 wird dabei nicht erwähnt.

Schwachstellen:

CVE-2018-12911

Schwachstelle in WebKitGTK+ ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4246

Schwachstelle in WebKit ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4261 CVE-2018-4262 CVE-2018-4263 CVE-2018-4264 CVE-2018-4265 CVE-2018-4267 CVE-2018-4272

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-4266

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2018-4270 CVE-2018-4271 CVE-2018-4273

Schwachstellen in WebKit ermöglichen Denial-of-Service-Angriffe

CVE-2018-4278

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

CVE-2018-4284