2020-2574: WebKitGTK: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-11-24 13:25)
- Neues Advisory
- Version 2 (2020-11-25 13:54)
- Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'webkit2gtk' in Version 2.30.3-1~deb10u1 bereit, um die Schwachstellen zu beheben. Die Schwachstelle CVE-2020-9952 wird dabei nicht adressiert.
- Version 3 (2020-11-27 11:12)
- Für Fedora 32 und 33 stehen Sicherheitsupdates für 'webkit2gtk3' im Status 'testing' zur Verfügung, mit denen die betroffene Software auf Version 2.30.3 aktualisiert wird.
- Version 4 (2020-12-02 13:53)
- Das WebKitGTK Team informiert mit WebKit Security Advisory WSA-2020-0009 darüber, dass eine weitere Schwachstelle mit WebKitGTK 2.30.3 behoben wurde. Ein Angreifer kann die Schwachstelle CVE-2020-13543 ebenfalls aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.
- Version 5 (2020-12-18 10:30)
- Für SUSE Linux Enterprise Server for SAP 15, SUSE Linux Enterprise Server 15 LTSS, SUSE Linux Enterprise Module for Desktop Applications 15 SP1 und SP2, SUSE Linux Enterprise Module for Basesystem 15 SP1 und SP2 sowie für SUSE Linux Enterprise High Performance Computing 15 LTSS und ESPOS stehen Sicherheitsupdates bereit, mit denen 'webkit2gtk3' auf Version 2.30.3 aktualisiert wird. Hier werden teilweise CVE-Bezeichner mit falscher Jahreszahl angegeben.
- Version 6 (2020-12-21 14:08)
- Für openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates für 'webkit2gtk3' auf Version 2.30.3 bereit, die die Schwachstellen adressieren. CVE-2020-9952 wird hierbei nicht explizit erwähnt.
Betroffene Software
Office
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.
Für die Ausnutzung der Cross-Site Scripting (XSS)-Schwachstelle ist die Interaktion eines Benutzers erforderlich und die erfolgreiche Ausnutzung kann Einfluss auf andere Komponenten haben.
Das WebKitGTK Team veröffentlicht WebKitGTK 2.30.3 als Sicherheitsupdate zur Behebung der Schwachstellen.
Schwachstellen:
CVE-2020-13543
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-13584
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-9948
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-9951
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-9952
Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-AngriffCVE-2020-9983
Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.