2023-1365: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-06-14 12:27)
- Neues Advisory
- Version 2 (2023-06-16 09:45)
- Für Debian 12 Bookworm (stable) und Debian 11 Bullseye (oldstable) stehen Sicherheitsupdates für 'chromium' in Version 114.0.5735.133-1~deb12u1 bzw. 114.0.5735.133-1~deb11u1 bereit, um die Schwachstellen zu beheben.
- Version 3 (2023-06-19 11:32)
- Für openSUSE Backports SLE 15 SP4 und SLE 15 SP5 stehen Sicherheitsupdates für 'chromium' auf Version 114.0.5735.133 bereit, um die vier Schwachstellen zu beben. Für Fedora 37 und 38 sowie Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'chromium-114.0.5735.133'-Paketen im Status 'testing' bereit, welche ebenfalls diese Schwachstellen adressieren. Die Software wird auch hiermit auf Version 114.0.5735.133 aktualisiert.
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Die Schwachstelle CVE-2023-3214 in der 'Autofill Payments'-Komponente wird vom Hersteller als kritisch bewertet. Ansonsten verfolgt Google die übliche Strategie, zunächst nur wenig Informationen zu den Schwachstellen zu veröffentlichen und mit der Bereitstellung weiterer Informationen darauf zu warten, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.
Google stellt die Chrome Version 114.0.5735.133 für macOS und Linux und 114.0.5735.133/134 für Windows zur Verfügung, um die aufgeführten Schwachstellen zu beheben. Zusätzlich kündigt Google an, Chrome 114.0.5735.130/.131 für Android innerhalb der nächsten Tage über Google Play und Chrome 114.0.5735.124 für iOS innerhalb der nächsten Stunden über den App Store zur Verfügung zu stellen. Während für die Android-Version darauf hingewiesen wird, dass die Schwachstellen analog zur Desktop-Version behoben wurden, ist für iOS nur angegeben, dass Stabilitäts- und Performance-Verbesserungen vorgenommen wurden, die für die Android-Version zusätzlich aufgeführt werden.
Schwachstellen:
CRBUG-1454307
Schwachstellen in Google Chrome und Chromium ermöglichen nicht spezifizierte AngriffeCVE-2023-3214
Schwachstelle Chrome-Komponente Autofill Payments ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-3215
Schwachstelle Chrome-Komponente WebRTC ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-3216
Schwachstelle Chrome-Komponente V8 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-3217
Schwachstelle Chrome-Komponente WebXR ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.