2022-1499: WebKitGTK: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-07-05 18:14)

Neues Advisory

Version 2 (2022-07-06 09:32)

Für Fedora 35 und 36 stehen Sicherheitsupdates in Form der Pakete 'webkit2gtk3-2.36.4-1.fc35' und 'webkit2gtk3-2.36.4-1.fc36' im Status 'testing' bereit, welche die Schwachstellen CVE-2022-22662 und CVE-2022-26710 zu adressieren.

Version 3 (2022-07-15 10:55)

Für Debian 10 Buster (oldstable) und Debian 11 Bullseye (stable) stehen Sicherheitsupdates für 'webkit2gtk' in den Versionen 2.36.4-1~deb10u1 und 2.36.4-1~deb11u1 bereit. Für Debian 11 steht außerdem ein Sicherheitsupdate für 'wpewebkit' in Version 2.36.4-1~deb11u1 zur Verfügung. Mit den Updates werden die Schwachstellen CVE-2022-22677 und CVE-2022-26710 adressiert.

Version 4 (2022-07-19 09:38)

Canonical veröffentlicht für die Distributionen Ubuntu 22.04 LTS und Ubuntu 20.04 LTS Sicherheitsupdates für 'webkit2gtk' zur Behebung der Schwachstellen CVE-2022-22677 und CVE-2022-26710.

Version 5 (2022-07-22 17:37)

SUSE veröffentlicht für eine Vielzahl von Produkten Sicherheitsupdates für 'webkit2gtk3', um die referenzierten Schwachstellen zu beheben. Sicherheitsupdates stehen für die folgenden Produkte bereit: SUSE OpenStack Cloud 9 und Crowbar 9, SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6, 7 und 7.1, SUSE Manager Proxy, Retail Branch Server und Server jeweils in den Versionen 4.1, 4.2 und 4.3, die SUSE Linux Enterprise Produkte Desktop 15 SP3 und 15 SP4, High Performance Computing 15, 15 SP1 und 15 SP2 jeweils ESPOS und LTSS spwie 15 SP3 und 15 SP4, Module for Basesystem 15 SP3 und 15 SP4, Module for Desktop Applications 15 SP3 und 15 SP4, Module for Development Tools 15 SP4, Software Development Kit 12 SP5, Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS, 12 SP5, 15 LTSS, 15 SP1 BCL, 15 SP1 LTSS, 15 SP2 BCL, 15 SP2 LTSS, 15 SP3 und 15 SP4, Server for SAP 12 SP4, 12 SP5, 15, 15 SP1, 15 SP2, 15 SP3 und 15 SP4 sowie die Distributionen openSUSE Leap 15.3 und 15.4.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Das WebKitGTK-Team veröffentlicht WebKitGTK 2.36.4 als Sicherheitsupdate zur Behebung der Schwachstellen.

Schwachstellen:

CVE-2022-22662

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

CVE-2022-22677

Schwachstelle in WebRTC ermöglicht Denial-of-Service-Angriff

CVE-2022-26710

Schwachstelle in WebKit ermöglichen Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.