DFN-CERT-2013-1108 Mehrere Schwachstellen in Chromium [Linux][Debian]
Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket chromium-browser in Debian GNU/Linux 7.0 (wheezy) vor Version
27.0.1453.110-1~deb7u1
Paket chromium-browser in Debian GNU/Linux testing(jessie) vor Version
27.0.1453.110-1
Paket chromium-browser in Debian GNU/Linux unstable (sid) vor Version
27.0.1453.110-1
Betroffene Plattformen:
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux 7.0 testing (jessie)
Debian GNU/Linux unstable (sid)
Mehrere Schwachstellen in Chromium ermöglichen einem entfernten Angreifer
schlimmstenfalls beliebige Befehle auszuführen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
<http://security.debian.org/pool/updates/main/>
CVE-2013-2857: Use-After-Free-Schwachstelle in Chromium
Chromium vor Version 27.0.1453.110 enthält eine
Use-After-Free-Schwachstelle. Diese ermöglicht einem entfernten Angreifer
einen Denial-of-Service-Angriff durchzuführen oder anderen nicht
spezifizierten Einfluss auf das System zu nehmen.
CVE-2013-2858: Use-After-Free-Schwachstelle in Chromium
Chromium vor Version 27.0.1453.110 enthält in der HTML5 Audio
Implementierung eine Use-After-Free-Schwachstelle. Diese ermöglicht einem
entfernten Angreifer einen Denial-of-Service-Angriff durchzuführen oder
anderen nicht spezifizierten Einfluss auf das System zu nehmen.
CVE-2013-2861: Schwachstelle in Chromium
Chromium vor Version 27.0.1453.110 enthält in der SVG-Implementierung eine
Use-After-Free-Schwachstelle. Diese ermöglicht einem entfernten Angreifer
einen Denial-of-Service-Angriff durchzuführen oder anderen nicht
spezifizierten Einfluss auf das System zu nehmen.
CVE-2013-2855: Schwachstelle in Chromium
In Chromium vor Version 27.0.1453.110 kann es in der Developer Tools API zu
einer Korruption des Speichers kommen. Dies ermöglicht einem entfernten
Angreifer einen Denial-of-Service-Angriff durchzuführen oder anderen nicht
spezifizierten Einfluss auf das System zu nehmen.
CVE-2013-2865: Mehrere Schwachstellen in Chromium
Chromium vor Version 27.0.1453.110 enthält mehrere nicht näher spezifizierte
Schwachstellen. Diese ermöglicht einem entfernten Angreifer einen
Denial-of-Service-Angriff durchzuführen oder anderen nicht spezifizierten
Einfluss auf das System zu nehmen.
CVE-2013-2863: Schwachstelle in Chromium
Chromium vor Version 27.0.1453.110 verwaltet SSL-Sockets nicht fehlerfrei.
Dadurch kann es zu einer Korruption des Speichers kommen. Dies ermöglicht
einem entfernten Angreifer einen Denial-of-Service-Angriff durchzuführen
oder schlimmstenfalls beliebige Befehle zur Ausführung zu bringen.
CVE-2013-2862: Schwachstelle in Skia
Skia verwaltet die GPU-Beschleunigung nicht fehlerfrei. Dadurch kann es zu
einer Korruption des Speichers kommen. Diese ermöglicht einem entfernten
Angreifer einen Denial-of-Service-Angriff durchzuführen oder anderen nicht
spezifizierten Einfluss auf das System zu nehmen.
CVE-2013-2860: Use-After-Free-Schwachstelle in Chromium
Chromium vor Version 27.0.1453.110 enthält bei Zugriff auf eine
Datenbank-API durch einen Worker-Prozess eine Use-After-Free-Schwachstelle.
Diese ermöglicht einem entfernten Angreifer einen Denial-of-Service-Angriff
durchzuführen oder anderen nicht spezifizierten Einfluss auf das System zu
nehmen.
CVE-2013-2859: Schwachstelle in Chromium
Chromium vor Version 27.0.1453.110 enthält eine nicht näher spezifizierte
Schwachstelle. Diese ermöglicht einem entfernten Angreifer die
Same-Origin-Policy zu umgehen und einen Namespace-Pollution-Angriff
durchzuführen.
CVE-2013-2856: Use-After-Free-Schwachstelle in Chromium
Chromium vor Version 27.0.1453.110 enthält eine
Use-After-Free-Schwachstelle. Diese ermöglicht einem entfernten Angreifer
einen Denial-of-Service-Angriff durchzuführen oder anderen nicht
spezifizierten Einfluss auf das System zu nehmen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2013-1108/>
Das Hersteller Advisory:
<http://www.debian.org/security/2013/dsa-2706>
Schwachstelle CVE-2013-2855:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2855>
Schwachstelle CVE-2013-2856:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2856>
Schwachstelle CVE-2013-2857:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2857>
Schwachstelle CVE-2013-2858:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2858>
Schwachstelle CVE-2013-2859:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2859>
Schwachstelle CVE-2013-2860:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2860>
Schwachstelle CVE-2013-2861:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2861>
Schwachstelle CVE-2013-2862:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2862>
Schwachstelle CVE-2013-2863:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2863>
Schwachstelle CVE-2013-2865:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2865>
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...