2019-2209: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-10-23 16:59)

Neues Advisory

Version 2 (2019-11-04 10:35)

Für Fedora 29, 30 und 31 sowie für Fedora EPEL 7 und 8 stehen Sicherheitsupdates zur Behebung der Schwachstellen im Status 'testing' bereit. Die betroffene Software Chromium wird damit auf Version 78.0.3904.70 aktualisiert. Weitere Updates auf diese Version stehen für openSUSE Leap 15.0 und 15.1 sowie für ppenSUSE Backports SLE 15 und 15 SP1 bereit. Mit diesen Updates wird zusätzlich die Bibliothek 're2' für die Verarbeitung regulärer Ausdrücke aktualisiert.

Version 3 (2019-11-07 10:51)

Für Fedora 29 und 30 stehen Sicherheitsupdates für Chromium auf Version 78.0.3904.87 im Status 'testing' bereit, welche die vorherigen Updates für Chromium auf Version 78.0.3904.70 ersetzen, welche in den Status 'obsolete' versetzt wurden (Referenzen hier entfernt).

Version 4 (2019-11-07 11:52)

Für Red Hat Enterprise Linux 6 Supplementary in den Produktvarianten Server, for Scientific Computing, Workstation und Desktop stehen Sicherheitsupdates für verschiedene Hardware-Plattformen bereit, womit Chromium auf Version 78.0.3904.70 aktualisiert wird.

Version 5 (2019-11-11 11:14)

Für Fedora EPEL 7 und 8 stehen Sicherheitsupdates für Chromium auf Version 78.0.3904.87 im Status 'testing' bereit, welche die vorherigen Updates für Chromium auf Version 78.0.3904.70 ersetzen, die in den Status 'obsolete' versetzt wurden (Referenzen hier entfernt).

Version 6 (2020-01-13 14:40)

Für openSUSE Backports 15 SP1 steht ein aktualisiertes Sicherheitsupdate bereit. Auch mit diesen Updates wird zusätzlich die Bibliothek 're2' für die Verarbeitung regulärer Ausdrücke aktualisiert.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Google Chrome und Chromium ermöglichen einem entfernten, nicht authentisierten Angreifer wahrscheinlich die Ausführung beliebigen Programmcodes. Weitere Schwachstellen erlauben einem solchen Angreifer das Darstellen falscher Informationen, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen und Denial-of-Service (DoS)- sowie weitere, nicht spezifizierte Angriffe. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle im Installer ausnutzen, um seine Privilegien zu erweitern.

Google stellt zur Behebung der insgesamt 37 Schwachstellen die Chrome Version 78.0.3904.70 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat. Einzeln benannt werden derzeit nur Schwachstellen, die von externen Sicherheitsforschern entdeckt wurden.

Schwachstellen:

CVE-2019-13699

Schwachstelle in Chrome und Chromium ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-13700

Schwachstelle in Chrome und Chromium ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-13701

Schwachstelle in Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2019-13702

Schwachstelle in Chrome und Chromium ermöglicht Privilegieneskalation

CVE-2019-13703

Schwachstelle in Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2019-13704

Schwachstelle in Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-13705

Schwachstelle in Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-13706

Schwachstelle in Chrome und Chromium ermöglicht u. a. Ausspähen von Informationen

CVE-2019-13707

Schwachstelle in Chrome und Chromium ermöglicht Ausspähen von Informationen

CVE-2019-13708

Schwachstelle in Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2019-13709

Schwachstelle in Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-13710

Schwachstelle in Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-13711

Schwachstelle in Chrome und Chromium ermöglicht Ausspähen von Informationen

CVE-2019-13713

Schwachstelle in Chrome und Chromium ermöglicht Ausspähen von Informationen

CVE-2019-13714

Schwachstelle in Chrome und Chromium ermöglicht Darstellung falscher Informationen

CVE-2019-13715

Schwachstelle in Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2019-13716

Schwachstelle in Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2019-13717

Schwachstelle in Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2019-13718

Schwachstelle in Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2019-13719

Schwachstelle in Chrome und Chromium ermöglicht Darstellen falscher Informationen

CVE-2019-13765

Schwachstelle in Google Chrome ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-15903

Schwachstelle in libexpat ermöglicht Denial-of-Service-Angriff

GOOGLE-BUG-ID-1016016

Schwachstellen in Google Chrome und Chromium ermöglichen unspezifische Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.