2023-0880: Google Chrome, Chromium, Microsoft Edge: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-04-19 12:42)
- Neues Advisory
- Version 2 (2023-04-20 10:55)
- Microsoft stellt Microsoft Edge 112.0.1722.54 auf Basis von Chromium 112.0.5615.137/138 zur Verfügung. Bezüglich der Schwachstelle CVE-2023-2036 weist Microsoft darauf hin, dass ein Exploit öffentlich verfügbar ist.
- Version 3 (2023-04-24 09:41)
- Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'chromium' in Version 112.0.5615.138-1~deb11u1 bereit, um die Schwachstellen zu beheben.
- Version 4 (2023-04-24 18:23)
- Für openSUSE Backports SLE 15 SP4 steht ein Sicherheitsupdate für 'chromium' auf das Chromium Release 112.0.5615.165 bereit, um die fünf Schwachstellen zu beheben.
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff und weitere nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Google stellt die Chrome Version 112.0.5615.137 für macOS sowie 112.0.5615.137/138 für Windows zur Behebung der Schwachstellen zur Verfügung, welche innerhalb der nächsten Tage/Wochen ausgerollt werden. Ein korrespondierendes Sicherheitsupdate für Linux soll in Kürze veröffentlicht werden.
Google informiert darüber, dass für die Ausnutzung der Schwachstelle CVE-2023-2136 Schadcode öffentlich verfügbar ist. Wie üblich, stellt Google derzeit ansonsten nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.
Darüber hinaus kündigt Google an, Chrome 112.0.5615.135/.136 für Android innerhalb der nächsten Tage über Google Play bereitzustellen. Neben Stabilitäts- und Performance-Verbesserungen umfasst diese Version alle Sicherheitsupdates für Schwachstellen, die auch mit dem hier beschriebenen Desktop-Update adressiert werden.
Die Bereitstellung von Chrome 112.0.5615.69 für iOS soll innerhalb der nächsten Stunden über den App Store erfolgen. Laut Hersteller beinhaltet diese Version allerdings nur Stabilitäts- und Performance-Verbesserungen, sie ist nicht als Sicherheitsupdate klassifiziert.
Schwachstellen:
CRBUG-1434139
Schwachstellen in Chromium und Google Chrome ermöglichen nicht spezifizierte AngriffeCVE-2023-2133 CVE-2023-2134
Schwachstellen in Chromium und Google Chrome ermöglichen Ausführen beliebigen ProgrammcodesCVE-2023-2135
Schwachstelle in Chromium und Google Chrome ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-2136
Schwachstelle in Chromium und Google Chrome ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-2137
Schwachstelle in Chromium, Google Chrome, Opera und SQLite ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.