2023-2978: Google Chrome, Chromium, Microsoft Edge, Opera: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-11-29 11:37): Neues Advisory
Version 2 (2023-11-30 08:58): Für Fedora 37, 38 und 39 stehen 'chromium-119.0.6045.199-1'-Pakete im Status 'testing' als Sicherheitsupdates bereit, um die Schwachstellen zu beheben.
Version 3 (2023-11-30 09:26): Microsoft stellt die Microsoft Edge Stable Channel Version 119.0.2151.97 auf Basis von Chromium 119.0.6045.199/.200 und Microsoft Edge Extended Stable Channel Version 118.0.2088.122 auf Basis von Chromium 118.0.5993.159 für Windows zur Behebung der Schwachstellen bereit und weist dabei auf die Ausnutzung der Schwachstelle CVE-2023-6345 hin.
Version 4 (2023-12-01 08:34): Für openSUSE Backports SLE 15 SP4 und SP5 stehen Sicherheitsupdates für Chromium auf Version 119.0.6045.199 bereit, um die Schwachstellen zu beheben. Für Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'chromium-119.0.6045.199-1'-Pakete im Status 'testing' bereit, um die Schwachstellen zu beheben.
Version 5 (2023-12-12 07:48): Für openSUSE Leap 15.4:NonFree und openSUSE Leap 15.5:NonFree stehen Sicherheitsupdates für Opera auf Version 105.0.4970.34 bereit, um die Schwachstellen zu beheben. Diese Version basiert auf Chromium 119.0.6045.199.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Zur Behebung der Schwachstellen stellt Google die Chrome Version 119.0.6045.199 für macOS und Linux sowie 119.0.6045.199/.200 für Windows zur Verfügung.

Google informiert darüber, dass für die Ausnutzung der Schwachstelle CVE-2023-6345 Schadcode öffentlich verfügbar ist. Wie üblich stellt Google derzeit ansonsten nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.

Ebenfalls angekündigt für den Rollout in den nächsten Tagen/Wochen wird das Extended Stable Channel Update auf die Version 118.0.5993.159 für Windows und macOS. Hier werden keine Schwachstellen als behoben aufgeführt.

Weiterhin kündigt Google an, Chrome 119.0.6045.193 für Android innerhalb der nächsten Tage über Google Play zur Verfügung zu stellen. Mit diesem Release werden die hier referenzierten Schwachstellen behoben und zusätzlich Stabilitäts- und Performance-Verbesserungen umgesetzt.

Schwachstellen:

CRBUG-1505618

Schwachstelle in Chromium und Google Chrome ermöglicht nicht spezifizierte Angriffe

CVE-2023-6345

Schwachstelle in Chromium und Google Chrome Skia ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-6346

Schwachstelle in Chromium und Google Chrome WebAudio ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-6347

Schwachstelle in Chromium und Google Chrome Mojo ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-6348

Schwachstelle in Chromium und Google Chrome Spellcheck ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-6350

Schwachstelle in Chromium und Google Chrome libavif ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-6351