2022-0164: WebKitGTK: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-01-24 13:28): Neues Advisory
Version 2 (2022-01-26 12:49): Für Debian 10 Buster (oldstable) steht die Version 2.34.4-1~deb10u1 und für Debian 11 Bullseye (stable) steht die Version 2.34.4-1~deb11u1 von 'webkit2gtk' bereit, um die mit WebKitGTK 2.34.4 Release behobenen Schwachstellen zu adressieren. Für Debian 11 Bullseye steht außerdem ein Sicherheitsupdate für 'wpewebkit' in Version 2.34.4-1~deb11u1 bereit, welches ebenfalls diese Schwachstellen behebt.
Version 3 (2022-01-28 08:16): Canonical stellt für Ubuntu 21.10 und Ubuntu 20.04 LTS Sicherheitsupdates für 'webkit2gtk' bereit, um die mit WebKitGTK 2.34.4 Release behobenen Schwachstellen zu adressieren.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Das WebKitGTK Team veröffentlicht WebKitGTK 2.34.4 als Sicherheitsupdate.

Für Fedora 34 und 35 stehen Sicherheitsupdates in Form von ’webkit2gtk3-2.34.4-1’-Paketen im Status ’testing’ zur Behebung der Schwachstellen bereit.

Die Schwachstellen CVE-2021-30887 und CVE-2021-30890 wurden bereits mit WebKitGTK 2.34.3 behoben, während die Schwachstellen CVE-2021-45481, CVE-2021-45482 und CVE-2021-45483 WebKitGTK vor Version 2.34.0 bzw. 2.32.4 betreffen und von Fedora nicht referenziert werden.

Schwachstellen:

CVE-2021-30887

Schwachstelle in WebKit ermöglicht Umgehen von Sicherheitsvorkehrungen