2020-2285: Google Chrome, Chromium, ChromeOS: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2020-10-21 15:13)
- Neues Advisory
- Version 2 (2020-10-23 14:27)
- Microsoft veröffentlicht den Browser Microsoft Edge in Version 86.0.622.51 auf Basis von Chromium 86.0.4240.111 zur Behebung der Schwachstellen. Die Schwachstellen wurden ursprünglich auch in den Hinweisen zur Veröffentlichung von Chrome OS 86.0.4240.112 erwähnt, das als Sicherheitsupdate bereitsteht.
- Version 3 (2020-10-26 09:16)
- Für openSUSE Leap 15.1 und 15.2 sowie openSUSE Backports SLE 15 SP1 stehen Sicherheitsupdates für 'chromium' auf Version 86.0.4240.111 bereit, um die fünf Schwachstellen zu beheben.
- Version 4 (2020-10-27 09:09)
- Für Red Hat Enterprise Linux 6 Supplementary (Server, Workstation, Desktop, for Scientific Computing) stehen Sicherheitsupdates für 'chromium-browser' auf Version 86.0.4240.111 bereit, um die fünf Schwachstellen zu beheben.
- Version 5 (2020-10-29 09:03)
- Für Fedora 31, 32 und 33 sowie Fedora EPEL 7 und 8 stehen Sicherheitsupdates in Form von 'chromium-86.0.4240.111-1'-Paketen im Status 'testing' bereit. Hiermit werden auch Schwachstellen adressiert, welche bereits mit dem Chromium Release 86 vorangegangenen Update behoben wurden.
- Version 6 (2020-11-05 16:45)
- Das Google Project Zero gibt bekannt, dass die Schwachstelle CVE-2020-15999 in Kombination mit einer weiteren, kürzlich entdeckten Schwachstelle CVE-2020-17087, die sich im Windows-Kernel befindet, bereits aktiv ausgenutzt wird, um Windows-Systeme zu übernehmen. Für die Schwachstelle im Windows-Kernel wird es voraussichtlich zum Patch-Tag im November ein Sicherheitsupdate von Microsoft geben. Es ist daher dringend angeraten, die Sicherheitsupdates für den Browser Chrome bzw. den auf Chrome basierenden Browser Edge einzuspielen.
Betroffene Software
Office
Systemsoftware
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen sowie Denial-of-Service (DoS)-Angriffe und weitere nicht spezifizierte Angriffe durchzuführen. Alle Angriffe erfordern die Interaktion eines Benutzers, um erfolgreich zu sein.
Google veröffentlicht Chrome 86.0.4240.111 zur Behebung der Schwachstellen für die Betriebssysteme Linux, Windows und macOS.
Der Hersteller informiert darüber, dass ein Exploit für die Schwachstelle CVE-2020-15999 bereits öffentlich bekannt ist.
Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.
Schwachstellen:
CVE-2020-15999
Schwachstelle in FreeType ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-16000
Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierten AngriffCVE-2020-16001
Schwachstelle in Google Chrome und Chromium ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-16002
Schwachstelle in Google Chrome und Chromium ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-16003
Schwachstelle in Google Chrome und Chromium ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.