2024-1447: Google Chrome, Chromium, Microsoft Edge: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2024-05-31 14:30)
- Neues Advisory
- Version 2 (2024-06-03 09:18)
- Für Fedora 39 und 40 sowie Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates in Form von 'chromium-125.0.6422.141-1'-Paketen im Status 'testing' für Fedora EPEL 7, 8 und 9 und sonst im Status 'stable' bereit.
- Version 3 (2024-06-03 15:06)
- Für openSUSE Backports SLE 15 SP5 steht ein Sicherheitsupdate für 'chromium' zur Behebung der Schwachstellen bereit.
- Version 4 (2024-06-04 08:58)
- Microsoft stellt die Microsoft Edge Stable Channel Version 125.0.2535.85 auf Basis von Chromium 125.0.6422.141/.142 für Windows bereit, um die Schwachstellen zu beheben.
- Version 5 (2024-06-04 13:36)
- Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'chromium' in Version 125.0.6422.141-1~deb12u1 bereit, um die Schwachstellen zu beheben.
- Version 6 (2024-07-08 10:49)
- Für openSUSE Leap 15.5:NonFree steht ein Sicherheitsupdate für Opera auf Version 111.0.5168.43 bereit, um die Schwachstellen und andere Fehler zu beheben. Die vorhergehende Version 111.0.5168.25 basiert auf Chromium 125.0.6422.142.
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Standardmäßig stellt Google derzeit nur sehr wenig Informationen zu den Schwachstellen und den konkreten Auswirkungen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.
Mit den veröffentlichten Sicherheitsupdates adressiert Google insgesamt elf Schwachstellen, von denen sieben von externen Sicherheitsforschern entdeckt wurden. Alle Schwachstellen werden vom Hersteller in ihrer Kritikalität als 'high' bewertet.
Zur Behebung der Schwachstellen stellt Google die Chrome Version 125.0.6422.141 für Linux sowie 125.0.6422.141/.142 für macOS und Windows zur Verfügung, die in den nächsten Tagen/Wochen ausgerollt werden soll.
Innerhalb der nächsten Tage sollen außerdem die Chrome Version 125.0.6422.146/.147 für Android über Google Play und 125.0.6422.145 für iOS über den App Store bereitstehen. Mit diesem Release werden die hier referenzierten Schwachstellen behoben und zusätzlich Stabilitäts- und Performance-Verbesserungen umgesetzt.
Weiterhin wurde Chrome Extended Stable Channel auf die Version 124.0.6367.243 für macOS und Windows aktualisiert, die in den nächsten Tagen/Wochen ausgerollt werden soll. Hierbei ist nicht deutlich, welche Schwachstellen damit behoben werden.
Schwachstellen:
CRBUG-343518382
Schwachstelle in Chromium und Google Chrome ermöglicht nicht spezifizierte AngriffeCVE-2024-5493
Schwachstelle in Chromium und Google Chrome WebRTC ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-5494
Schwachstelle in Chromium und Google Chrome Dawn ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-5495
Schwachstelle in Chromium und Google Chrome Dawn ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-5496
Schwachstelle in Chromium und Google Chrome Media Session ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-5497
Schwachstelle in Chromium und Google Chrome Keyboard Inputs ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-5498
Schwachstelle in Chromium und Google Chrome Presentation API ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-5499
Schwachstelle in Chromium und Google Chrome Streams API ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.