2024-0122: Google Chrome, Chromium, Microsoft Edge, Opera: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-01-17 08:09)

Neues Advisory

Version 2 (2024-01-18 08:51)

Für Debian 11 Bullseye (oldstable) steht Version 120.0.6099.224-1~deb11u1 und für Debian 12 Bookworm (stable) steht Version 120.0.6099.224-1~deb12u1 von 'chromium' als Sicherheitsupdate bereit, um die Schwachstellen zu beheben.

Version 3 (2024-01-18 10:02)

Microsoft stellt die Microsoft Edge Stable Channel Version 120.0.2210.144 auf Basis von Chromium 120.0.6099.225 zur Behebung der Schwachstellen bereit. Für Fedora 38 steht ein Sicherheitsupdate in Form des Pakets 'chromium-120.0.6099.224-1.fc38' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 4 (2024-01-19 07:48)

Für Fedora 39 sowie Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'chromium-120.0.6099.224-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 5 (2024-01-19 09:03)

Für openSUSE Backports SLE 15 SP5 steht ein Sicherheitsupdate für 'chromium' auf Version 120.0.6099.224 bereit, um die Schwachstellen zu beheben.

Version 6 (2024-01-25 08:27)

Für openSUSE Leap 15.5:NonFree steht ein Sicherheitsupdate für Opera auf Version 106.0.4998.52 bereit, um die Schwachstellen zu beheben. Diese Version basiert auf Chromium 120.0.6099.234.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien jedoch die Interaktion eines Benutzers erforderlich.

Google informiert darüber, dass für die Ausnutzung der Schwachstelle CVE-2024-0519 Schadcode öffentlich verfügbar ist.

Details über die Schwachstellen werden von Google wie üblich noch nicht bereitgestellt, da zunächst ein Großteil der Nutzer das Update auf die fehlerbereinigte Version vollzogen haben soll. Mit den verfügbaren Sicherheitsupdates wird zusätzlich zu den aufgelisteten, von externen Sicherheitsforschern gemeldeten Schwachstellen, eine weitere, nicht weiter benannte Schwachstelle behoben.

Für macOS werden Sicherheitsupdates zur Behebung der Schwachstellen in Form der Version 120.0.6099.234 sowie der entsprechenden Extended Stable Channel Version 120.0.6099.234 innerhalb der nächsten Tage bzw. Wochen ausgerollt. Für Linux wird die Version 120.0.6099.224 und für Windows werden die Versionen 120.0.6099.224/225 sowie die Extended Stable Channel Version 120.0.6099.225 ebenfalls innerhalb der nächsten Tage bzw. Wochen bereitgestellt.

Schwachstellen:

CRBUG-1518006

Schwachstellen in Chromium und Google Chrome ermöglichen nicht spezifizierte Angriffe

CVE-2024-0517

Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-0518

Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-0519

Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.