2018-1855: Google Chrome, Chromium: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-09-12 17:48)

Neues Advisory

Version 2 (2018-09-17 11:41)

Für openSUSE Leap 42.3 und 15.0 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates bereit, mit denen 'chromium' auf Version 69.0.3497.92 aktualisiert wird.

Version 3 (2018-09-18 11:18)

Für die Distributionen Fedora 27 und 28 stehen Sicherheitsupdates in Form von 'chromium-69.0.3497.92-1'-Paketen im Status 'testing' zur Behebung der Schwachstellen zur Verfügung. In den referenzierten Sicherheitsmeldungen werden auch die Schwachstellen aufgeführt, die bereits mit der Chromium Version 69.0.3497.81 behoben wurden, da Fedora für diese Version kein Update veröffentlicht hat. Zusätzlich zu den hier bereits aufgeführten Angriffen ermöglichen die insgesamt 40 Schwachstellen in der Vorgängerversion das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen.

Version 4 (2018-09-20 12:37)

Für Debian Stretch (stable) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'chromium-browser' behoben werden.

Version 5 (2018-09-24 15:17)

Für openSUSE Backports SLE 15 steht ein Sicherheitsupdate für 'chromium' auf Version 69.0.3497.92 bereit.

Version 6 (2018-09-27 12:54)

Für Red Hat Enterprise Linux 6 Supplementary stehen Sicherheitsupdates für das Paket 'chromium-browse' auf Version 69.0.3497.100 bereit. Die Sicherheitsupdates stehen damit für die Produktvarianten Server, Workstation und Desktop zur Verfügung.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in Google Chrome und Chromium können vermutlich von einem entfernten, nicht authentisierten Angreifer mit Hilfe speziell präparierter Webseiten oder Browser-Erweiterungen ausgenutzt werden. Die Schwachstellen ermöglichen dem Angreifer unter anderem die Ausführung beliebigen Programmcodes, die Darstellung falscher Informationen und die Durchführung eines Denial-of-Service (DoS)-Angriffs.

Zur Behebung der insgesamt 2 aktuellen Schwachstellen, die beide durch externe Sicherheitsforscher entdeckt wurden, steht Chrome 69 in der Version 69.0.3497.92 für die Betriebssysteme Linux, Windows und macOS zur Verfügung.

Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenige Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat. Eine der Schwachstellen wird mit dem Schweregrad 'high' bewertet.

Schwachstellen:

CVE-2018-17458

Schwachstelle in WebAssembly ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2018-17459

Schwachstelle in Omnibox ermöglicht Darstellung falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.