2024-1009: Google Chrome, Chromium, Opera: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2024-04-17 13:29)
- Neues Advisory
- Version 2 (2024-04-19 09:56)
- Für Fedora 38 und 39 stehen Sicherheitsupdates in Form von 'chromium-124.0.6367.60-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.
- Version 3 (2024-04-22 08:20)
- Für Fedora 39 wurde das Sicherheitsupdate durch das Paket 'chromium-124.0.6367.60-2' im Status 'testing' ersetzt, da es mit dem vorherigen Build Probleme bei 'gnome-shell' und anderen Anwendungen gab.
- Version 4 (2024-04-22 10:51)
- Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'chromium' in Version 124.0.6367.60-1~deb12u1 bereit, um die Schwachstellen zu beheben.
- Version 5 (2024-04-22 16:48)
- Für Fedora EPEL9 steht das Paket 'chromium-124.0.6367.60-1.el9' im Status 'testing' als aktualisiertes Sicherheitsupdate bereit, womit das vorhergehende Paket in den Status 'obsolete' übergegangen ist. Es werden somit die hier referenzierten und die mit der Vorgängerversion behobenen Schwachstellen adressiert.
- Version 6 (2024-04-24 09:14)
- Für Fedora 40 steht ein Sicherheitsupdate in Form des Pakets 'chromium-124.0.6367.60-2.fc40' im Status 'stable' bereit, um die Schwachstellen zu beheben.
- Version 7 (2024-05-17 08:55)
- Für openSUSE Leap 15.5:NonFree steht ein Sicherheitsupdate für Opera auf Version 110.0.5130.23 bereit, um die Schwachstellen zu beheben. Diese Version basiert auf Chromium 124.0.6367.62.
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe und weitere, nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Standardmäßig stellt Google derzeit nur sehr wenig Informationen zu den Schwachstellen und den konkreten Auswirkungen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.
Mit den veröffentlichten Sicherheitupdates adressiert Google insgesamt 22 Schwachstellen, von denen bisher nur die einzeln aufgeführt sind, die von externen Sicherheitsforschern entdeckt wurden. Von diesen dreizehn Schwachstellen werden vom Hersteller drei in ihrer Kritikalität als 'high' bewertet.
Zur Behebung der Schwachstellen stellt Google die Chrome Version 124.0.6367.60 für Linux sowie 124.0.6367.60/.61 für macOS und Windows zur Verfügung, die in den nächsten Tagen/Wochen ausgerollt werden soll.
Ebenfalls angekündigt für den Rollout in den nächsten Tagen/Wochen wird das Extended Stable Channel Update auf die gleiche Version 124.0.6367.60/.61 für Windows und macOS.
Innerhalb der nächsten Tage soll außerdem die Chrome Version 124.0.6367.54 für Android über Google Play bereitstehen. Mit diesem Release werden die hier referenzierten Schwachstellen behoben und zusätzlich Stabilitäts- und Performance-Verbesserungen umgesetzt.
Bereits innerhalb der nächsten Stunden soll die Chrome Version 124.0.6367.68 for iOS bereitstehen. Wie üblich werden damit Stabilitäts- und Performance-Verbesserungen implementiert. Das mit dem Release ebenfalls Schwachstellen behoben werden, indiziert der Hersteller nicht.
Schwachstellen:
CRBUG-334957582
Schwachstellen in Chromium und Google Chrome ermöglichen nicht spezifizierte AngriffeCVE-2024-3832
Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-3833
Schwachstelle in Chromium und Google Chrome WebAssembly ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-3834
Schwachstelle in Chromium und Google Chrome Downloads ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-3837
Schwachstelle in Chromium und Google Chrome QUIC ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-3838
Schwachstelle in Chromium und Google Chrome Autofill ermöglicht nicht spezifizierte AngriffeCVE-2024-3839
Schwachstelle in Chromium und Google Chrome Fonts ermöglicht Denial-of-Service-AngriffCVE-2024-3840
Schwachstelle in Chromium und Google Chrome Site Isolation ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2024-3841
Schwachstelle in Chromium und Google Chrome Browser Switcher ermöglicht Denial-of-Service-AngriffCVE-2024-3843
Schwachstelle in Chromium und Google Chrome Downloads ermöglicht Denial-of-Service-AngriffCVE-2024-3844
Schwachstelle in Chromium und Google Chrome Extensions ermöglicht nicht spezifizierte AngriffeCVE-2024-3845
Schwachstelle in Chromium und Google Chrome Network ermöglicht nicht spezifizierte AngriffeCVE-2024-3846
Schwachstelle in Chromium und Google Chrome Prompts ermöglicht nicht spezifizierte AngriffeCVE-2024-3847
Schwachstelle in Chromium und Google Chrome WebUI ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2024-3914
Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.