2024-2551: WPE WebKit, WebKitGTK: Zwei Schwachstellen ermöglichen u. a. das Darstellen falscher Informationen

Historie:

Version 1 (2024-09-26 13:07)

Neues Advisory

Version 2 (2024-10-02 09:31)

Für Fedora 39 und 40 stehen Sicherheitsupdates in Form von 'webkitgtk-2.46.1-1'-Paketen im Status 'testing' bereit, welche die vorherigen Updates FEDORA-2024-01501ccce2 (Fedora 39, webkitgtk-2.46.0-1.fc39) und FEDORA-2024-00448ce92b (Fedora 40, webkitgtk-2.46.0-1.fc40) ersetzen, die in den Status 'obsolete' überführt wurden (Referenzen hier entfernt).

Version 3 (2024-10-07 08:49)

Für Fedora 40 steht ein Sicherheitsupdate in Form des Pakets 'webkit2gtk4.0-2.46.1-2.fc40' im Status 'testing' zur Verfügung.

Version 4 (2024-10-15 09:53)

Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'webkit2gtk' in Version 2.46.0-2~deb12u1 bereit, um die Schwachstellen zu beheben.

Version 5 (2024-10-23 10:08)

Canonical stellt für Ubuntu 24.04 LTS und Ubuntu 22.04 LTS Sicherheitsupdates für 'webkit2gtk' bereit, um die Schwachstelle zu beheben.

Version 6 (2024-10-24 13:22)

Für Basesystem Module 15 SP6, Desktop Applications Module 15 SP6, Development Tools Module 15 SP6, openSUSE Leap 15.6, SUSE Linux Enterprise Desktop 15 SP6, SUSE Linux Enterprise High Performance Computing 12 SP5, SUSE Linux Enterprise Real Time 15 SP6, SUSE Linux Enterprise Server 12 SP5, 12 SP5 LTSS, 12 SP5 LTSS Extended Security und 15 SP6 sowie SUSE Linux Enterprise Server for SAP Applications 12 SP5 und 15 SP6 stehen Sicherheitsupdates für 'webkit2gtk3' auf Version 2.46.0 bereit, um die beiden Schwachstellen zu beheben. Es werden weitere Schwachstellen aufgeführt, die bereits mit früheren Versionen behoben wurden.

Version 7 (2024-11-01 13:16)

Der Hersteller gibt bekannt, dass mit WebKitGTK und WPE WebKit 2.46.0 zusätzlich die Schwachstelle CVE-2024-44185 behoben wurde. Ein Angreifer kann diese aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Version 8 (2024-11-04 09:23)

Für Basesystem Module 15 SP5, Desktop Applications Module 15 SP5, openSUSE Leap 15.4, SUSE Linux Enterprise Desktop 15 SP4 LTSS und 15 SP5, SUSE Linux Enterprise High Performance Computing 15 SP2, 15 SP2 LTSS, 15 SP4, 15 SP4 ESPOS / LTSS und 15 SP5, SUSE Linux Enterprise Real Time 15 SP5, SUSE Linux Enterprise Server 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP3, 15 SP4 und 15 SP5 sowie SUSE Manager Retail Branch Server 4.3 stehen Sicherheitsupdates für 'webkit2gtk3' auf Version 2.46.0 bereit, um die Schwachstellen CVE-2024-40866 und CVE-2024-44187 zu beheben. Es werden weitere Schwachstellen aufgeführt, die bereits mit früheren Versionen behoben wurden.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Apple
Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Das WebKitGTK-Team veröffentlicht WebKitGTK und WPE WebKit 2.46.0 als 'stable Release', um die beiden Schwachstellen zu beheben. Es werden weitere Schwachstellen referenziert, die bereits früher mit den WebKitGTK Releases 2.42.5, 2.44.2 und 2.44.3 behoben wurden.

Für Fedora 39 und 40 stehen als Sicherheitsupdates 'webkitgtk-2.46.0-1'-Pakete im Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2024-40866

Schwachstelle in WebKit ermöglicht Darstellen falscher Informationen

CVE-2024-44185

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2024-44187

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.