2023-1132: Chromium, Google Chrome, Microsoft Edge: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-05-17 13:16): Neues Advisory
Version 2 (2023-05-19 08:28): Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'chromium' in Version 113.0.5672.126-1~deb11u1 bereit, um die Schwachstellen zu beheben.
Version 3 (2023-05-19 11:52): Microsoft stellt die Microsoft Edge Extended Stable Channel Version 112.0.1722.84 auf Basis von Chromium 112.0.5615.204 sowie die Microsoft Edge Stable Version 113.0.1774.50 auf Basis von Chromium 113.0.5672.126/.127 zur Behebung der Schwachstellen bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Die Schwachstelle CVE-2023-2721 in der Komponente 'Navigation' wird von Google als 'kritisch' (critical) eingestuft.

Zur Behebung der Schwachstellen stellt Google die Chrome Version 113.0.5672.126 für macOS und Linux und 113.0.5672.126/.127 für Windows zur Verfügung. Zusätzlich werden laut Hersteller in den nächsten Tagen bzw. Wochen für Windows und macOS die Extended Chrome Version 112.0.5615.204 veröffentlicht.

Darüber hinaus kündigt Google an, Chrome 113.0.5672.121 für iOS innerhalb der nächsten Stunden über den App Store zur Verfügung zu stellen. Laut Hersteller beinhalten diese Versionen zusätzlich Stabilitäts- und Performance-Verbesserungen.

Wie üblich, stellt Google derzeit nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.