2018-2104: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-10-17 18:22)

Neues Advisory

Version 2 (2018-10-22 17:44)

SUSE stellt für openSUSE Leap 15.0 und openSUSE Backports SLE 15 Chromium in der Version 70.0.3538.67 als Sicherheitsupdate bereit.

Version 3 (2018-10-25 13:23)

Für openSUSE Leap 42.3 sowie für die Red Hat Enterprise Linux 6 Produkte Server, Workstation und Desktop stehen Sicherheitsupdates auf die Chromium Version 70.0.3538.67 bereit.

Version 4 (2018-11-05 10:27)

Debian veröffentlicht für die stabile Distribution Stretch ein Sicherheitsupdate auf die Chromium Version 70.0.3538.67, um die Schwachstellen zu beheben.

Version 5 (2018-11-13 10:26)

Für Fedora 27, 28 und 29 stehen Sicherheitsupdates für 'chromium' auf Version 70.0.3538.77 im Status 'testing' bereit. Hierbei wird die ältere Schwachstelle CVE-2018-16435 zusätzlich genannt und die nur iOS betreffende Schwachstelle CVE-2018-17472 wird nicht adressiert.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Google Chrome und Chromium können vermutlich vorwiegend von einem entfernten, nicht authentisierten Angreifer beispielsweise mit Hilfe speziell präparierter Webseiten oder Browser-Erweiterungen ausgenutzt werden. Die Schwachstellen ermöglichen dem Angreifer unter anderem die Ausführung beliebigen Programmcodes, die Darstellung falscher Informationen, das Ausspähen von Informationen, die Durchführung von Denial-of-Service (DoS)-Angriffen sowie weitere nicht näher spezifizierte Angriffe.

Zur Behebung der insgesamt 23 aktuellen Schwachstellen, von denen 17 durch externe Sicherheitsforscher oder durch das Google Project Zero entdeckt wurden, steht Chrome in der Version 70.0.3538.67 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat. Sechs der bisher bekannten Schwachstellen sind mit dem Schweregrad 'high' bewertet.

Schwachstellen:

CVE-2018-17462

Schwachstelle in AppCache ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-17463

Schwachstelle in V8 ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-17464 CVE-2018-17467 CVE-2018-17473 CVE-2018-17475

Schwachstellen in Omnibox ermöglichen Darstellung falscher Informationen

CVE-2018-17465

Schwachstelle in V8 ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-17466

Schwachstelle in ANGLE ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-17468

Schwachstelle in Blink ermöglicht Ausspähen von Informationen

CVE-2018-17469

Schwachstelle in PDFium ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-17470

Schwachstelle in GPU Internals ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-17471 CVE-2018-17476

Schwachstellen in Security ermöglichen Ausspähen von Informationen

CVE-2018-17472

Schwachstelle in Google Chrome ermöglicht nicht spezifizierte Angriffe

CVE-2018-17474

Schwachstelle in Blink ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-17477

Schwachstelle in Chrome Extensions ermöglicht Darstellen falscher Informationen

CVE-2018-5179

Schwachstelle in ServiceWorker ermöglicht nicht spezifizierte Angriffe

GOOGLE-BUG-ID-872189

Schwachstelle in Little CMS ermöglicht u. a. Denial-of-Service-Angriff

GOOGLE-BUG-ID-895893

Schwachstellen in Google Chrome und Chromium ermöglichen nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.