2023-2691: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-11-01 15:02)
- Neues Advisory
- Version 2 (2023-11-06 07:53)
- Für Debian 11 Bullseye (oldstable) steht Version 119.0.6045.105-1~deb11u1 und für Debian 12 Bookworm (stable) steht Version 119.0.6045.105-1~deb12u1 von 'chromium' bereit, um die Schwachstellen zu beheben.
- Version 3 (2023-11-07 08:06)
- Für Fedora 37, 38 und 39 sowie Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'chromium-119.0.6045.105-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.
- Version 4 (2023-11-13 08:22)
- Für Fedora 38 und 39 sowie Fedora EPEL 7, 8 und 9 stehen neue Sicherheitsupdates in Form von 'chromium-119.0.6045.123-1'-Paketen im Status 'testing' bereit, welche die früheren Updates FEDORA-2023-a5dfb908a0 (Fedora 38, chromium-119.0.6045.105-1.fc38), FEDORA-2023-4ce457db98 (Fedora 39, chromium-119.0.6045.105-1.fc39), FEDORA-EPEL-2023-ca644cad1f (Fedora EPEL 7, chromium-119.0.6045.105-1.el7), FEDORA-EPEL-2023-6e863522f4 (Fedora EPEL 8, chromium-119.0.6045.105-1.el8) und FEDORA-EPEL-2023-14c0898d9a (Fedora EPEL 9, chromium-119.0.6045.105-1.el9) ersetzen, die in den Status 'obsolete' überführt wurden (Referenzen hier entfernt). Das frühere Update für Fedora 37 befindet sich im Status 'stable'.
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, falsche Informationen darzustellen und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um wahrscheinlich beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind wahrscheinlich keine Privilegien erforderlich, allerdings die Interaktion eines Benutzers.
Insgesamt werden mit dem verfügbaren Sicherheitsupdate auf die Version 119.0.6045.105 für macOS und Linux sowie 119.0.6045.105/.106 für Windows 15 Schwachstellen behoben, zu denen aber noch keine Details veröffentlicht wurden. Diese stehen erst zur Verfügung, wenn ein Großteil der Benutzer das Update auf die fehlerbereinigte Version vollzogen hat.
Innerhalb der nächsten Tage soll außerdem die Chrome Version 119.0.6045.66 for Android über Google Play bereitstehen. Mit dieser Version werden die gleichen Schwachstellen wie in der korrespondierenden Desktop-Version behoben.
Bereits in den nächsten Stunden soll die Chrome Version 119.0.6045.109 for iOS bereitgestellt werden, die Stabilitäts- und Performanceverbesserungen umfasst. Von behobenen Schwachstellen spricht der Hersteller in diesem Kontext nicht.
Schwachstellen:
CRBUG-1497743
Schwachstellen in Chromium und Google Chrome ermöglichen nicht spezifizierte AngriffeCVE-2023-5480
Schwachstelle in Chromium und Google Chrome Payments ermöglicht nicht spezifizierte AngriffeCVE-2023-5482
Schwachstelle in Chromium und Google Chrome USB ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-5849
Schwachstelle in Chromium und Google Chrome USB ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-5850 CVE-2023-5853
Schwachstellen in Chromium und Google Chrome Downloads ermöglichen Darstellen falscher InformationenCVE-2023-5851 CVE-2023-5857
Schwachstellen in Chromium und Google Chrome Downloads ermöglichen nicht spezifizierte AngriffeCVE-2023-5852
Schwachstelle in Chromium und Google Chrome Printing ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-5854
Schwachstelle in Chromium und Google Chrome Profiles ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-5855
Schwachstelle in Chromium und Google Chrome Reading Mode ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-5856
Schwachstelle in Chromium und Google Chrome Side Panel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-5858
Schwachstelle in Chromium und Google Chrome WebApp Provider ermöglicht nicht spezifizierte AngriffeCVE-2023-5859
Schwachstelle in Chromium und Google Chrome Picture In Picture ermöglicht Darstellen falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.