2023-2446: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-10-11 16:25)
- Neues Advisory
- Version 2 (2023-10-13 09:18)
- Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'chromium' in Version 118.0.5993.70-1~deb12u1 bereit, um die Schwachstellen zu beheben. Für Fedora 37 und 38 sowie Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'chromium-118.0.5993.70-1'-Paketen im Status 'testing' bereit, um die Schwachstellen durch ein Update auf das Chromium Release 118.0.5993.70 zu beheben. Bis auf Fedora 37 ersetzen diese alle die früheren Updates in Form von 'chromium-117.0.5938.149-1'-Paketen, welche in den Status 'obsolete' überführt wurden, und adressieren damit auch die mit der Chromium Version 117.0.5938.149 vom 3. Oktober behobene Schwachstelle CVE-2023-5346.
- Version 3 (2023-10-13 18:12)
- Für openSUSE Backports SLE 15 SP4 und 15 SP5 stehen Sicherheitsupdates für 'chromium' auf Version 118.0.5993.70 bereit, um die Schwachstellen zu beheben.
- Version 4 (2023-10-18 10:30)
- Für Fedora 38 wurde das Sicherheitsupdate hinsichtlich der Paketversion aktualisiert; es steht nun das Paket 'chromium-118.0.5993.70-2.fc38' im Status 'testing' bereit, um die Schwachstellen durch ein Update auf das Chromium Release 118.0.5993.70 zu beheben.
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um vermutlich beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen und weiteren, nicht näher spezifizierten Einfluss auf ein betroffenes System zu nehmen.
Für die Ausnutzung der Schwachstellen sind wahrscheinlich keine Privilegien erforderlich, allerdings die Interaktion eines Benutzers. Eine der 14 genauer aufgeführten Schwachstellen wird in der Auswirkung als kritisch bewertet, der Rest hat eine mittlere bis niedrige Einstufung.
Insgesamt werden mit dem verfügbaren Sicherheitsupdate auf die Version 118.0.5993.70 für macOS und Linux sowie 118.0.5993.70/.71 für Windows 20 Schwachstellen behoben, zu denen aber noch keine Details veröffentlicht wurden. Diese stehen erst zur Verfügung, wenn ein Großteil der Nutzer das Update auf die fehlerbereinigte Version vollzogen hat.
Die genannten Sicherheitsupdates werden, wie auch die Extended Stable Channel Version 118.0.5993.71 für Windows und 118.0.5993.70 für macOS, in den nächsten Tagen bzw. Wochen bereitgestellt.
Innerhalb der nächsten Tage soll außerdem die Chrome Version 118.0.5993.65 for Android über Google Play bereitstehen. Mit dieser Version werden die gleichen Schwachstellen wie in der korrespondierenden Desktop-Version behoben.
Bereits in den nächsten Stunden soll die Chrome Version 118.0.5993.69 for iOS bereitgestellt werden, die Stabilitäts- und Performanceverbesserungen umfasst. Von behobenen Schwachstellen spricht der Hersteller in diesem Kontext nicht.
Schwachstellen:
CRBUG-1491268
Schwachstellen in Chromium und Google Chrome ermöglichen nicht spezifizierte AngriffeCVE-2023-5218
Schwachstelle in Chromium und Google Chrome Site Isolation ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-5473
Schwachstelle in Chromium und Google Chrome Cast ermöglicht Denial-of-Service-AngriffCVE-2023-5474
Schwachstelle in Chromium und Google Chrome PDF ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-5475
Schwachstelle in Chromium und Google Chrome DevTools ermöglicht nicht spezifizierte AngriffeCVE-2023-5476
Schwachstelle in Chromium und Google Chrome Blink History ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-5477
Schwachstelle in Chromium und Google Chrome Installer ermöglicht nicht spezifizierte AngriffeCVE-2023-5478 CVE-2023-5485
Schwachstellen in Chromium und Google Chrome Autofill ermöglichen nicht spezifizierte AngriffeCVE-2023-5479
Schwachstelle in Chromium und Google Chrome Extensions API ermöglicht nicht spezifizierte AngriffeCVE-2023-5481
Schwachstelle in Chromium und Google Chrome Downloads ermöglicht nicht spezifizierte AngriffeCVE-2023-5483
Schwachstelle in Chromium und Google Chrome Intents ermöglicht nicht spezifizierte AngriffeCVE-2023-5484
Schwachstelle in Chromium und Google Chrome Navigation ermöglicht nicht spezifizierte AngriffeCVE-2023-5486
Schwachstelle in Chromium und Google Chrome Input ermöglicht nicht spezifizierte AngriffeCVE-2023-5487
Schwachstelle in Chromium und Google Chrome Fullscreen ermöglicht nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.