2025-3258: WPE WebKit, WebKitGTK: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-11-21 10:56): Neues Advisory
Version 2 (2025-12-04 08:13): Für Debian 12 Bookworm (oldstable) steht Version 2.50.2-1~deb12u1 und für Debian 13 Trixie (stable) steht Version 2.50.2-1~deb13u1 von 'webkit2gtk' bereit, um zehn Schwachstellen zu beheben. Die Schwachstellen CVE-2023-43000, CVE-2025-43419 und CVE-2025-43480, welche mit früheren Releases gefixt wurden, werden nicht referenziert.
Version 3 (2025-12-04 09:35): Für Debian 11 Bullseye (LTS) steht Version 2.50.2-1~deb11u1 von 'webkit2gtk' bereit, um zehn Schwachstellen zu beheben.
Version 4 (2025-12-08 07:05): Für Fedora EPEL 10.1 steht das Paket 'webkitgtk-2.50.2-2' im Status 'testing' bereit, um die 13 Schwachstellen zu beheben.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und veröffentlicht das Sicherheitsupdate 2.50.2 für WebKitGTK und WPE WebKit. Die Schwachstellen CVE-2023-43000, CVE-2025-43419 und CVE-2025-43480 wurden bereits durch die vorhergehenden Updates 2.42.0, 2.50.0 und 2.46.0 behoben.

Schwachstellen:

CVE-2023-43000

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-43392

Schwachstelle in WebKit Canvas ermöglicht Ausspähen von Informationen