2022-0991: Tails: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-05-04 16:28)

Neues Advisory

Version 2 (2022-05-30 13:24)

Das Tor-Projekt informiert über eine kritische Schwachstelle in der JavaScript-Engine von Firefox und Tor Browser, mit Verweis auf das Firefox 91.9.1 ESR Sicherheitsupdate, welche mit Hilfe einer bösartigen Webseite das Umgehen von im Tor Browser integrierten Sicherheitsmechanismen und damit den Zugriff auf Informationen anderer Webseiten ermöglicht, wie z. B. von Benutzern eingegebene Passwörter. Als Sicherheitsupdate wird Tails 5.1 für den 31. Mai 2022 angekündigt. Solange kann der Tor Browser in Tails 5.0 ggf. auf dem sichersten Niveau mit deaktiviertem JavaScript genutzt werden, zumindest, wenn keine sensiblen Daten darüber eingegeben werden. Weiterhin sollte Tails neu gestartet werden, wenn der Tor Browser eventuell bereits kompromittiert werden konnte.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen,Denial-of-Service (DoS)-Angriffe durchzuführen, falsche Informationen darzustellen und nicht spezifizierte Angriffe durchzuführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode ausführen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Das Tor-Projekt informiert über die Schwachstellen mit Verweisen auf Thunderbird 91.8, Tor Browser 11.0.11 (auf Basis von Firefox 91.9.0 ESR) sowie eine Reihe von Debian Security Advisories und empfiehlt ein Update auf Tails 5.0, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2021-28544

Schwachstelle in Apache Subversion ermöglicht Ausspähen von Informationen

CVE-2021-4197

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2022-0168

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2022-1016

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2022-1048

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1097

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Network Security Services (NSS) und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1125

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1127

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1128

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1129

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1130

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1131

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1132

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1133

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1134

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1135

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1136

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1137

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1138

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1139

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1141

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1142 CVE-2022-1143

Schwachstellen in Google Chrome und Chromium ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-1144

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1145

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1146

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1158

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1195

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2022-1196

Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1197

Schwachstelle in Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-1198

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2022-1199

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2022-1204

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2022-1205

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2022-1232

Schwachstelle in V8 ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-1271

Schwachstelle in gzip und XZ Utils ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-1305 CVE-2022-1312

Schwachstellen in Google Chrome und Chromium ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-1306

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1307

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1308

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1309

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-1310

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1311

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1313

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1314

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1353

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1364

Schwachstelle in V8 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1477

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1478

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1479

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1480

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1481

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1482

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1483

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1484

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-1485

Schwachstelle in Google Chrome und Chromium ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1486

Schwachstelle in Google Chrome und Chromium ermöglicht Ausspähen von Informationen

CVE-2022-1487

Schwachstelle in Google Chrome und Chromium ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1488

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1489

Schwachstelle in Google Chrome und Chromium ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1490

Schwachstelle in Google Chrome und Chromium ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1491

Schwachstelle in Google Chrome und Chromium ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1492

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1493

Schwachstelle in Chrome und Chromium ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1494

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1495

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1496

Schwachstelle in Chrome und Chromium ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1497

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1498

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1499

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1500

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1501

Schwachstelle in Google Chrome und Chromium ermöglicht nicht spezifizierte Angriffe

CVE-2022-1516

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2022-22624 CVE-2022-22628

Schwachstellen in WebKit ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-22629

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-23033

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-23034

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2022-23035

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-24070

Schwachstelle in Apache Subversion ermöglicht Denial-of-Service-Angriff

CVE-2022-24713

Schwachstelle in Rust Regex ermöglicht Denial-of-Service-Angriff

CVE-2022-26356

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2022-26357

Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-26358 CVE-2022-26359 CVE-2022-26360 CVE-2022-26361

Schwachstellen in Xen ermöglichen u. a. Denial-of-Service-Angriff

CVE-2022-26490

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2022-27666

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-28281

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-28282

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-28285

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausspähen von Informationen

CVE-2022-28286

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2022-28289

Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-28356

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2022-28388

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-28389

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-28390

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-29582

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

CVE-2022-29909

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-29911

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-29912

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-29914

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2022-29916

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2022-29917

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

DSA-5124-1-A

Schwachstellen in FFmpeg ermöglichen u. a. Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.