2018-2471: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-12-05 16:48)

Neues Advisory

Version 2 (2018-12-10 10:18)

Für Debian Stretch (stable) sowie für openSUSE Leap 15.0 und openSUSE Backports SLE 15 stehen Sicherheitsupdates bereit, mit denen Chromium auf Version 71.0.3578.80 aktualisiert wird.

Version 3 (2018-12-10 15:19)

Für Red Hat Enterprise Linux 6 Supplementary stehen Sicherheitsupdates für 'chromium-browser' zur Behebung der Schwachstellen bereit. Die Sicherheitsupdates sind damit für die Produktvarianten Server, Workstation und Desktop verfügbar und Chromium wird dadurch auf Version 71.0.3578.80 aktualisiert.

Version 4 (2018-12-17 18:27)

Der Google Chrome Bug [900910]: 'Multiple issues in SQLite via WebSQL' hat durch weitere Veröffentlichungen größeren Bekanntheitsgrad erlangt. Laut Angaben der Entdecker der unter dem Namen 'Magellan' veröffentlichten Schwachstelle wurde diese mit Chromium 71.0.3578.80 behoben. Das Tencent Blade Team konnte Google Home erfolgreich angreifen, ein Exploit wird jedoch nicht öffentlich gemacht werden und eine allgemeine Ausnutzung der Schwachstelle ist bislang nicht bekannt.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Google Chrome und Chromium können vermutlich vorwiegend von einem entfernten, nicht authentisierten Angreifer beispielsweise mit Hilfe speziell präparierter Webseiten oder Browser-Erweiterungen ausgenutzt werden. Die Schwachstellen ermöglichen dem Angreifer unter anderem die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen sowie die Durchführung von Denial-of-Service (DoS)-Angriffen. Eine Vielzahl weiterer Schwachstellen ermöglicht zudem nicht weiter spezifizierte Angriffe.

Zur Behebung der insgesamt 43 aktuellen Schwachstellen, von denen 34 durch externe Sicherheitsforscher oder durch das Google Project Zero entdeckt wurden, steht Chrome in der Version 71.0.3578.80 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat. 13 der bisher bekannten Schwachstellen sind mit dem Schweregrad 'high' bewertet. Google informiert zusätzlich über eine weitere Schwachstelle, die bereits in Chrome 69 behoben, dort aber nicht erwähnt wurde.

Schwachstellen:

CVE-2018-17480 CVE-2018-18342

Schwachstellen in V8 ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-17481 CVE-2018-18336

Schwachstellen in PDFium ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-18335

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18337

Schwachstelle in Blink ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18338

Schwachstelle in Chrome und Chromium ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18339

Schwachstelle in WebAudio ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18340

Schwachstelle in MediaRecorder ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18341

Schwachstelle in Blink ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18343

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18344

Schwachstelle in Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2018-18345

Schwachstelle in Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-18346

Schwachstelle in Blink ermöglicht nicht spezifizierte Angriffe

CVE-2018-18347 GOOGLE-BUG-ID-879965 GOOGLE-BUG-ID-882270

Schwachstellen in Chrome und Chromium ermöglichen nicht spezifizierte Angriffe

CVE-2018-18348

Schwachstelle in Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2018-18349 CVE-2018-18350

Schwachstellen in Blink ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2018-18351 GOOGLE-BUG-ID-890558

Schwachstellen in Chrome und Chromium ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2018-18352

Schwachstelle in Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2018-18353

Schwachstelle in Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2018-18354

Schwachstelle in Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-18355 CVE-2018-18357 GOOGLE-BUG-ID-895885

Schwachstellen in Chrome und Chromium ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2018-18356

Schwachstelle in Skia ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-18358

Schwachstelle in Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-18359

Schwachstelle in V8 ermöglicht u. a. Denial-of-Service-Angriff

GOOGLE-BUG-ID-851821

Schwachstelle in Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

GOOGLE-BUG-ID-856135

Schwachstelle in Chrome und Chromium ermöglicht u. a. Denial-of-Service-Angriff

GOOGLE-BUG-ID-900910

Schwachstelle in SQLite ermöglicht u. a. Ausführung beliebigen Programmcodes

GOOGLE-BUG-ID-911706

Schwachstellen in Chrome und Chromium ermöglichen nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.