2022-1026: Google Chrome, Chromium, Microsoft Edge, Opera: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-05-10 17:33): Neues Advisory
Version 2 (2022-05-11 09:19): Zur Behebung der Schwachstellen stellt Google die Chrome Version 101.0.4951.64 für die Betriebssysteme Linux, Windows und macOS zur Verfügung. Zusätzlich wird laut Hersteller in den nächsten Tagen bzw. Wochen für Windows und macOS die Extended Chrome Version 100.0.4896.160 veröffentlicht. Google stellt, wie üblich, derzeit nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.
Version 3 (2022-05-13 17:44): Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'chromium' in Version 101.0.4951.64-1~deb11u1 bereit, um die Schwachstellen zu beheben.
Version 4 (2022-05-16 11:58): Microsoft veröffentlicht Microsoft Edge 101.0.1210.47 (Stable Channel) zur Behebung der Schwachstellen.
Version 5 (2022-05-17 10:27): Für openSUSE Backports SLE 15 SP3 steht ein Sicherheitsupdate bereit, mit dem Chromium auf Version 101.0.4951.64 aktualisiert wird.
Version 6 (2022-05-27 12:31): Für openSUSE Leap 15.3 (NonFree) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in Opera behoben werden. Die betroffene Software wird damit auf Version 87.0.4390.25 aktualisiert. Diese Version basiert auf Chromium 101.0.4951.64.
Version 7 (2022-05-30 09:48): Für openSUSE Leap 15.4 (NonFree) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in Opera behoben werden. Die betroffene Software wird damit auf Version 87.0.4390.25 aktualisiert. Diese Version basiert auf Chromium 101.0.4951.64. Zusätzlich wird die Schwachstelle CVE-2022-1364 in V8 aufgeführt, die einem Angreifer aus der Ferne einen Denial-of-Service (DoS)-Angriff sowie eventuell das Ausführen beliebigen Programmcodes ermöglicht und für die laut Google bereits ein Exploit existiert. Diese Schwachstelle wurde schon mit Opera Version 86.0.4363.23 adressiert, welches auf Chromium 100.0.4896.127 basiert; für openSUSE Leap 15.3 (NonFree) wurde ein Sicherheitsupdate Anfang Mai 2022 bereitgestellt.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen oder weitere nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Google informiert über die Schwachstellen und stellt mit Chrome 101.0.4951.61 ein Sicherheitsupdate für Android bereit, welches innerhalb der nächsten Tage über Google Play verfügbar sein soll.