2025-3406: WPE WebKit, WebKitGTK: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2025-12-05 14:23): Neues Advisory
Version 2 (2025-12-08 07:08): Für Fedora 42 steht das Paket 'webkitgtk-2.50.3-1' im Status 'testing' und für Fedora 43 steht das Paket 'webkitgtk-2.50.3-1' im Status 'stable' bereit, um drei Schwachstellen zu beheben.
Version 3 (2025-12-10 07:10): Für Debian 12 Bookworm (oldstable) steht Version 2.50.3-1~deb12u1 und für Debian 13 Trixie (stable) steht Version 2.50.3-1~deb13u1 von 'webkit2gtk' bereit, um vier Schwachstellen zu beheben.
Version 4 (2025-12-10 11:14): Für Debian 11 Bullseye (LTS) steht Version 2.50.3-1~deb11u1 von 'webkit2gtk' bereit, um vier Schwachstellen zu beheben.
Version 5 (2026-01-06 09:17): Für Ubuntu 22.04 LTS, 24.04 LTS, 25.04 und 25.10 stehen Sicherheitsupdates für 'webkit2gtk' bereit, um vier Schwachstellen zu beheben.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen und möglicherweise weitere Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und veröffentlicht das Sicherheitsupdate 2.50.3 für WebKitGTK und WPE WebKit. Die Schwachstelle CVE-2025-13502 wurde bereits durch die vorhergehenden Updates 2.50.2 behoben.

Schwachstellen:

CVE-2025-13502

Schwachstelle in WebKitGTK ermöglicht Denial-of-Service-Angriff

CVE-2025-13947

Schwachstelle in WebKitGTK ermöglicht Ausspähen von Informationen

CVE-2025-43421

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2025-43458