2018-1791: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-09-05 17:07)
- Neues Advisory
- Version 2 (2018-09-10 11:40)
- Für Debian Stretch (stable), für openSUSE Leap 15.0 und 42.3 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates bereit, mit denen Chromium auf Version 69.0.3497.81 aktualisiert wird.
- Version 3 (2018-09-11 10:23)
- Für Red Hat Enterprise Linux 6 Supplementary stehen Sicherheitsupdates für Chromium auf Version 69.0.3497.81 bereit. Die Updates stehen damit für Red Hat Enterprise Linux Desktop, Server und Workstation 6 zur Verfügung.
- Version 4 (2018-09-24 17:00)
- Für openSUSE Backports 15 SLE steht ein Sicherheitsupdate für das Paket 'chromium' auf Version 69.0.3497.81 bereit, welches zusätzlich die Schwachstelle CVE-2017-15430 im Chromecast Plugin aus einem vorherigen Chromium-Update adressiert. Diese Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer mit Hilfe einer manipulierten Website, welche ein Nutzer zuvor öffnen muss, das Umgehen von Sicherheitsvorkehrungen. In der Zwischenzeit sind mehrere weitere, nicht schwerwiegende Schwachstellen bekannt geworden, die mit dieser Version von Chromium behoben
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Google Chrome und Chromium können vermutlich vorwiegend von einem entfernten, nicht authentisierten Angreifer beispielsweise mit Hilfe speziell präparierter Webseiten oder Browser-Erweiterungen ausgenutzt werden. Die Schwachstellen ermöglichen dem Angreifer unter anderem die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen, das Ausspähen von Informationen sowie die Durchführung von Denial-of-Service (DoS)-Angriffen.
Zur Behebung der insgesamt 40 aktuellen Schwachstellen, von denen 22 durch externe Sicherheitsforscher oder durch das Google Project Zero entdeckt wurden, steht Chrome 69 in der Version 69.0.3497.81 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Die Schwachstelle CVE-2018-16072 betrifft nur Google Android.
Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenige Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat. Sieben der bisher bekannten Schwachstellen sind mit dem Schweregrad 'high' bewertet.
Schwachstellen:
CVE-2018-16065
Schwachstelle in V8 ermöglicht u. a. Ausführung beliebigen ProgrammcodesCVE-2018-16066
Schwachstelle in Blink ermöglicht u. a. Ausspähen von InformationenCVE-2018-16067
Schwachstelle in WebAudio ermöglicht u. a. Ausspähen von InformationenCVE-2018-16068
Schwachstelle in Mojo ermöglicht u. a. Ausführung beliebigen ProgrammcodesCVE-2018-16069
Schwachstelle in SwiftShader ermöglicht u. a. Ausspähen von InformationenCVE-2018-16070
Schwachstelle in Skia ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-16071
Schwachstelle in WebRTC ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-16072
Schwachstelle in Chrome ermöglicht Ausspähen von InformationenCVE-2018-16073
Schwachstelle in Chrome ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-16074
Schwachstelle in Chrome ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-16075
Schwachstelle in Blink ermöglicht Ausspähen von InformationenCVE-2018-16076
Schwachstelle in PDFium ermöglicht u. a. Ausspähen von InformationenCVE-2018-16077
Schwachstelle in Blink ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-16078
Schwachstelle in Autofill ermöglicht Ausspähen von InformationenCVE-2018-16079
Schwachstelle in Berechtigungsdialog ermöglicht Darstellung falscher InformationenCVE-2018-16080
Schwachstelle in Vollbildmodus ermöglicht Darstellung falscher InformationenCVE-2018-16081
Schwachstelle in DevTools ermöglicht Ausspähen von InformationenCVE-2018-16082
Schwachstelle in SwiftShader ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-16083
Schwachstelle in WebRTC ermöglicht u. a. Ausspähen von InformationenCVE-2018-16084
Schwachstelle in Chrome ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-16085
Schwachstelle in Memory Instrumentation ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-16086
Schwachstelle in Chrome ermöglicht Cross-Site-Scripting-AngriffCVE-2018-16087
Schwachstelle in Chrome ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-16088
Schwachstelle in Chrome ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-16435
Schwachstelle in Little CMS ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.