2023-1644: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-07-19 12:30)
- Neues Advisory
- Version 2 (2023-07-21 10:19)
- Für Debian 11 Bullseye (oldstable) und Debian 12 Bookworm (stable) stehen Sicherheitsupdates für 'chromium' in den Versionen 115.0.5790.98-1~deb11u1 und 115.0.5790.98-1~deb12u1 zur Verfügung, um die Schwachstellen zu adressieren.
- Version 3 (2023-07-27 13:19)
- Für openSUSE Backports SLE 15 SP4 und 15 SP5 stehen Sicherheitsupdates für 'chromium' zur Verfügung, um die Schwachstellen zu beheben.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, vermutlich einen Denial-of-Service (DoS)-Angriff und verschiedene, nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Vier der referenzierten Schwachstellen werden in der Auswirkung vom Hersteller als 'hoch' bewertet. Insgesamt werden mit den bereitgestellten Sicherheitsupdates 20 Schwachstellen behoben, von denen nur jene, welche von externen Sicherheitsforschern gemeldet wurden, im Kontext der Update-Information aufgeführt werden. Ansonsten verfolgt Google weiterhin die Strategie, zunächst nur wenig Informationen zu den Schwachstellen zu veröffentlichen und mit der Bereitstellung weiterer Informationen darauf zu warten, dass ein Großteil der Benutzer die Aktualisierung auf die neue Version vollzogen hat.
Als Sicherheitsupdates stellt Google die Chrome Version 115.0.5790.98 für macOS und Linux und 115.0.5790.98/99 für Windows zur Verfügung.
Weiterhin kündigt Google an die Chrome Version 115.0.5790.130 für iOS innerhalb der nächsten Stunden über den App Store zur Verfügung zu stellen. In der zugehörigen Meldung gibt Google allerdings keine Hinweise darauf, dass mit dieser Version Schwachstellen adressiert wurden, sondern gibt an, dass Stabilitäts- und Performance-Verbesserungen enthalten sind.
Schwachstellen:
CRBUG-1465718
Schwachstellen in Google Chrome und Chromium ermöglichen nicht spezifizierte AngriffeCVE-2023-3727 CVE-2023-3728
Schwachstellen in Chrome-Komponente WebRTC ermöglichen Ausführen beliebigen ProgrammcodesCVE-2023-3730
Schwachstelle in Chrome-Komponente Tab Groups ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-3732
Schwachstelle in Chrome-Komponente Mojo ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-3733
Schwachstelle in Chrome-Komponente WebApp Installs ermöglicht nicht spezifizierte AngriffeCVE-2023-3734
Schwachstelle in Chrome-Komponente Picture In Picture ermöglicht nicht spezifizierte AngriffeCVE-2023-3735
Schwachstelle in Chrome-Komponente Web API Permission Prompts ermöglicht nicht spezifizierte AngriffeCVE-2023-3736
Schwachstelle in Chrome-Komponente Custom Tabs ermöglicht nicht spezifizierte AngriffeCVE-2023-3737
Schwachstelle in Chrome-Komponente Notifications ermöglicht nicht spezifizierte AngriffeCVE-2023-3738
Schwachstelle in Chrome-Komponente Autofill ermöglicht nicht spezifizierte AngriffeCVE-2023-3740
Schwachstelle in Chrome-Komponente Themes ermöglicht vermutlich Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.