2019-0811: Qt: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-04-23 19:12)

Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Qt ermöglichen auch einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, verschiedene Denial-of-Service (DoS)- und weitere, nicht näher spezifizierte Angriffe. Weitere Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer das Ausspähen sensibler Informationen. Eine der Schwachstellen ermöglicht das Ausspähen von durch den Benutzer eingegebenen Schlüsseln aus Logdaten.

Die meisten der Schwachstellen betreffen Qt WebEngine und wurden mit verschiedenen Chromium Releases bis hin zu Version 72.0.3626.121 behoben. Einige der Schwachstellen werden im Change Log nur mit der Google Bug ID aufgeführt, für die zum Teil zwischenzeitlich CVE-Identifizierer vergeben wurden. Die Schwachstelle, die das Ausspähen von Schlüsseln ermöglicht, betrifft QtQuick Virtual Keyboard.

Der Hersteller informiert über die Schwachstellen und stellt Qt 5.9.8 als Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2018-17462

Schwachstelle in AppCache ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-17469

Schwachstelle in PDFium ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-17471 CVE-2018-17476

Schwachstellen in Security ermöglichen Ausspähen von Informationen

CVE-2018-17474

Schwachstelle in Blink ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-17481 CVE-2018-18336

Schwachstellen in PDFium ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-18337

Schwachstelle in Blink ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18339

Schwachstelle in WebAudio ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18340

Schwachstelle in MediaRecorder ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18342

Schwachstelle in V8 ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18343

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18345

Schwachstelle in Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-18347

Schwachstelle in Chrome und Chromium ermöglicht Ausführung beliebigen Skriptcodes

CVE-2018-18349

Schwachstelle in Blink ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-18356

Schwachstelle in Skia ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-20346 CVE-2018-20505 CVE-2018-20506

Schwachstellen in SQLite ermöglichen u. a. Ausführung beliebigen Programmcodes

CVE-2019-5756

Schwachstelle in PDFium ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-5758

Schwachstelle in Blink ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-5759

Schwachstelle in Chrome und Chromium ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-5764

Schwachstelle in WebRTC ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-5785

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-5786

Schwachstelle in FileReader ermöglicht Ausführung beliebigen Programmcodes

GOOGLE-BUG-ID-872189

Schwachstelle in Little CMS ermöglicht u. a. Denial-of-Service-Angriff

GOOGLE-BUG-ID-922677

Schwachstelle in Chrome und Chromium ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.