2023-2120: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-09-13 13:26): Neues Advisory
Version 2 (2023-09-18 09:45): Für Fedora 37 und 38 sowie für Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'chromium-117.0.5938.62-1'-Paketen im Status 'testing' bzw. 'stable' (Fedora 38) zur Verfügung, um die Schwachstellen zu beheben. Hiermit werden weitere Schwachstellen adressiert, die mit den vorherigen beiden Paketversionen ('obsolete') behoben worden waren. Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) führt die Schwachstelle CVE-2023-4863 in ihrem 'Known Exploited Vulnerabilities Catalog', da diese aktiv ausgenutzt wird.
Version 3 (2023-09-19 10:58): Für Debian 11 Bullseye (oldstable) und Debian 12 Bookworm (stable) stehen Sicherheitsupdates für 'chromium' in den Versionen 117.0.5938.62-1~deb11u1 und 117.0.5938.62-1~deb12u1 zur Behebung der Schwachstellen bereit.
Version 4 (2023-09-19 11:16): Für Fedora 37 und für Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'chromium-117.0.5938.88-1'-Paketen im Status 'testing' zur Verfügung, um die Schwachstellen zu beheben. Hiermit werden weitere Schwachstellen adressiert, die mit vorherigen Paketversionen ('obsolete') behoben worden waren.
Version 5 (2023-09-19 18:13): Für openSUSE Backports SLE 15 SP4 und SP5 stehen Sicherheitsupdates für 'chromium' auf Version 117.0.5938.88 bereit, um die Schwachstellen zu beheben.
Version 6 (2023-09-25 10:02): Für Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'chromium-117.0.5938.92-2'-Paketen im Status 'testing' zur Verfügung, um die Schwachstellen zu beheben. Hiermit werden weitere Schwachstellen adressiert, die mit vorherigen Paketversionen ('obsolete') behoben worden waren.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, falsche Informationen darzustellen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller weist darauf hin, dass CVE-2023-4863 bereits aktiv ausgenutzt wird.

Zur Behebung der Schwachstellen stellt Google die Chrome Version 117.0.5938.62 für macOS und Linux sowie 117.0.5938.62/.63 für Windows zur Verfügung.

Darüber hinaus kündigt Google an, Chrome 117.0.5938.60 für Android innerhalb der nächsten Tage über Google Play zur Verfügung zu stellen. Laut Hersteller beinhaltet diese Versionen zusätzlich Stabilitäts- und Performance-Verbesserungen.

Google behebt mit dem verfügbaren Sicherheitsupdate 16 Schwachstellen, von denen nur diejenigen einzeln aufgeführt werden, die von externen Sicherheitsforschern gemeldet wurden. Wie üblich, stellt Google derzeit nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.

Schwachstellen:

CRBUG-1481336

Schwachstellen in Chromium und Google Chrome ermöglichen nicht spezifizierte Angriffe