DFN-CERT

Advisory-Archiv

2022-0684: Google Chrome, Chromium, Microsoft Edge: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-03-28 10:41)
Neues Advisory
Version 2 (2022-03-28 18:45)
Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'chromium' in Version 99.0.4844.84-1~deb11u1 bereit, um die Schwachstelle zu beheben.
Version 3 (2022-03-29 09:19)
Für openSUSE Backports SLE 15 SP3 steht ein Sicherheitsupdate für 'chromium' bereit, um die referenzierte Schwachstelle zu beheben. Das hier bezeichnete Sicherheitsupdate zur Behebung der beiden Schwachstellen CVE-2021-44224 und CVE-2021-44790 in 'apache2' ist dagegen nur für openSUSE Leap 15.3 (siehe gesonderte Meldung).
Version 4 (2022-03-29 15:16)
Für Ubuntu 18.04 LTS steht ein Sicherheitsupdate für 'chromium-browser' zur Verfügung, um die Schwachstelle zu adressieren.
Version 5 (2022-03-31 11:43)
Für Fedora 34 und 35 sowie Fedora EPEL 7 und 8 stehen Sicherheitsupdates in Form von 'chromium-99.0.4844.84-1'-Paketen im Status 'testing' bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um wahrscheinlich beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle erfordert die Interaktion eines Benutzers.

Google informiert darüber, dass für die Schwachstelle CVE-2022-1096 bereits ein Exploit öffentlich bekannt ist.

Zur Behebung der Schwachstelle stellt Google die Chrome Version 99.0.4844.84 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Zusätzlich wird laut Hersteller in den nächsten Tagen bzw. Wochen für Windows und macOS die Extended Chrome Version 98.0.4758.141 veröffentlicht.

Darüber hinaus kündigt Google an, Chrome 99.0.4844.88 für Android innerhalb der nächsten Tage über Google Play zur Verfügung zu stellen.

Microsoft stellt Microsoft Edge 99.0.1150.55 auf Basis von Chromium 99.0.4844.84 zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2022-1096

Schwachstelle in V8 ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.