2022-0842: Google Chrome, Chromium: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2022-04-19 09:36)

Neues Advisory

Version 2 (2022-04-19 14:20)

Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'chromium' in Version 100.0.4896.127-1~deb11u1 bereit, um die Schwachstellen zu beheben.

Version 3 (2022-04-19 15:25)

Für openSUSE Backports SLE 15 SP3 steht ein Sicherheitsupdate für 'chromium' auf Version 100.0.4896.127 bereit.

Version 4 (2022-04-25 13:41)

Für Fedora 34 und 35 stehen Sicherheitsupdates in Form von 'chromium-100.0.4896.127-1'-Paketen im Status 'testing' bereit, womit die beiden hier referenzierten Schwachstellen sowie die mit den beiden vorherigen Chromium Versionen 100.0.4896.75 und 100.0.4896.88 behobenen Schwachstellen adressiert werden.

Version 5 (2022-05-02 13:15)

Für openSUSE Leap 15.3 (NonFree) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in Opera behoben werden. Die betroffene Software wird damit auf Version 86.0.4363.23 aktualisiert. Diese Version basiert auf Chromium 100.0.4896.127.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um eventuell beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Beide Schwachstellen erfordern die Interaktion eines Benutzers.

Zur Behebung der Schwachstellen stellt Google die Chrome Version 100.0.4896.127 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Darüber hinaus kündigt Google an, Chrome 100.0.4896.127 für Android innerhalb der nächsten Tage über Google Play zur Verfügung zu stellen.

Wie üblich stellt Google kurz nach Veröffentlichung von Sicherheitsupdates nur wenig Informationen zu den Schwachstellen zur Verfügung. Weitere Informationen werden bekanntgegeben, sobald ein Großteil der Benutzer das Update auf die neuen Versionen vollzogen hat. Allerdings weist Google drauf hin, dass für die Schwachstelle CVE-2022-1364 ein Exploit existiert.

Schwachstellen:

CRBUG-1316420

Schwachstellen in Google Chrome und Chromium ermöglichen nicht spezifizierte Angriffe

CVE-2022-1364

Schwachstelle in V8 ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.