2023-3043: Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-12-06 11:31)
- Neues Advisory
- Version 2 (2023-12-07 09:21)
- Für Fedora 39 steht ein Sicherheitsupdate in Form des Pakets 'chromium-120.0.6099.62-1.fc39' im Status 'testing' bereit, um die Schwachstellen zu beheben.
- Version 3 (2023-12-08 08:03)
- Für Fedora 38 steht ein Sicherheitsupdate in Form des Pakets 'chromium-120.0.6099.62-2.fc38' im Status 'testing' bereit, um die Schwachstellen zu beheben.
- Version 4 (2023-12-08 09:27)
- Für Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form der Pakete 'chromium-120.0.6099.62-1.el7', 'chromium-120.0.6099.62-2.el8' und 'chromium-120.0.6099.62-2.el9' im Status 'testing' bereit, womit ein Update auf das Chromium Release 120.0.6099.62 erfolgt und die hier referenzierten Schwachstellen behoben werden. Hiermit werden weitere Schwachstellen adressiert, die bereits mit dem Chromium Release 119.0.6045.199 behoben wurden.
- Version 5 (2023-12-11 08:39)
- Für Fedora EPEL 7, 8 und 9 stehen neue Sicherheitsupdates in Form von 'chromium-120.0.6099.71-1'- Paketen im Status 'testing' bereit, welche die vorherigen Updates FEDORA-EPEL-2023-259055935d (Fedora EPEL 7, chromium-120.0.6099.62-1.el7), FEDORA-EPEL-2023-d0b9bcb64f (Fedora EPEL 8, chromium-120.0.6099.62-2.el8) und FEDORA-EPEL-2023-8d617060ef (Fedora EPEL 9, chromium-120.0.6099.62-2.el9) ersetzen, die in den Status 'obsolete' versetzt wurden (Referenzen hier entfernt). Hiermit erfolgt ein Update auf das Chromium Release 120.0.6071, welches allerdings keine zusätzlichen Schwachstellen adressiert, als die hier aufgeführten und jenen, die bereits mit dem Chromium Release 119.0.6045.199 behoben wurden.
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Insgesamt werden mit dem verfügbaren Sicherheitsupdate auf die Version 120.0.6099.62 für macOS und Linux sowie 120.0.6099.62/.63 für Windows 10 Schwachstellen behoben, zu denen aber noch keine Details veröffentlicht wurden. Diese stehen erst zur Verfügung, wenn ein Großteil der Nutzer das Update auf die fehlerbereinigte Version vollzogen hat.
Die genannten Sicherheitsupdates werden, wie auch die Extended Stable Channel Version 120.0.6099.63 für Windows und 120.0.6099.62 für macOS, in den nächsten Tagen bzw. Wochen bereitgestellt.
Innerhalb der nächsten Tage soll außerdem die Chrome Version 120.0.6099.43 for Android über Google Play bereitstehen. Mit dieser Version werden die gleichen Schwachstellen wie in der korrespondierenden Desktop-Version behoben.
Bereits in den nächsten Stunden soll die Chrome Version 120.0.6099.101 for iOS bereitgestellt werden, die Stabilitäts- und Performanceverbesserungen umfasst. Von behobenen Schwachstellen spricht der Hersteller in diesem Kontext nicht.
Schwachstellen:
CRBUG-1497743
Schwachstellen in Chromium und Google Chrome ermöglichen nicht spezifizierte AngriffeCVE-2023-6508
Schwachstelle in Chromium und Google Chrome Media Stream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-6509
Schwachstelle in Chromium und Google Chrome Side Panel Search ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-6510
Schwachstelle in Chromium und Google Chrome Media Capture ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-6511
Schwachstelle in Chromium und Google Chrome Autofill ermöglicht nicht spezifizierte AngriffeCVE-2023-6512
Schwachstelle in Chromium und Google Chrome Web Browser UI ermöglicht nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.