Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1037 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat][SuSE][Apple][Windows]

19.06.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (19.06.2017):
Für die Red Hat Enterprise Linux 6 Produkte Desktop Supplementary, Server
Supplementary und Workstation Supplementary steht Chromium in der Version
59.0.3071.104 als Sicherheitsupdate bereit
Version 2 (19.06.2017):
Für openSUSE Leap 42.2 und SUSE Package Hub for SUSE Linux Enterprise 12
steht Chromium in der Version 59.0.3071.104 als Sicherheitsupdate bereit.
Version 1 (16.06.2017):
Neues Advisory

Betroffene Software:

Chromium < 59.0.3071.104
Google Chrome < 59.0.3071.104


Betroffene Plattformen:

SUSE Package Hub for SUSE Linux Enterprise 12
Apple Mac OS X
macOS Sierra
GNU/Linux
Microsoft Windows
openSUSE Leap 42.2
Red Hat Enterprise Linux Desktop Supplementary 6
Red Hat Enterprise Linux Server Supplementary 6
Red Hat Enterprise Linux Workstation Supplementary 6



In Google Chrome und Chromium vor Version 59.0.3071.104 existieren fünf
Schwachstellen, die von den verfügbaren Sicherheitsupdates behoben werden.
Google listet von diesen Schwachstellen nur die drei explizit auf, die von
externen Sicherheitsforschern entdeckt wurden. Die aufgeführten
Schwachstellen ermöglichen einem entfernten, nicht authentifizierten
Angreifer das Darstellen falscher Informationen, das Umgehen von
Sicherheitsvorkehrungen sowie die Durchführung eines Denial-of-Service
(DoS)-Angriffs. Zwei der aufgelisteten Schwachstellen stuft der Hersteller
in Bezug auf die Kritikalität als 'hoch' ein.

Google veröffentlicht das Chrome Stable Channel Update for Desktop
59.0.3071.104 für Windows, Macintosh (Mac OS X und macOS Sierra) und Linux.


Patch:

Chrome Stable Channel Update, 15 Juni 2017

<https://chromereleases.googleblog.com/2017/06/stable-channel-update-for-desktop_15.html>

Patch:

Red Hat Security Advisory RHSA-2017:1495

<http://rhn.redhat.com/errata/RHSA-2017-1495.html>

Patch:

openSUSE Security Update openSUSE-SU-2017:1591-1

<http://lists.opensuse.org/opensuse-updates/2017-06/msg00058.html>

Patch:

openSUSE Security Update openSUSE-SU-2017:1593-1

<http://lists.opensuse.org/opensuse-updates/2017-06/msg00060.html>


CVE-2017-5089: Schwachstelle in Omnibox ermöglicht Darstellen falscher
Informationen

In Omnibox, welches von Google Chrome und Chromium vor Version 59.0.3071.104
verwendet wird, existiert eine nicht näher beschriebene Schwachstelle, die
es ermöglicht falsche Domänennamen darzustellen (Domain Spoofing). Ein
entfernter, nicht authentisierter Angreifer kann gefälschte
Domänen-Informationen darstellen und dies als Ausgangspunkt für weitere
Angriffe verwenden.


CVE-2017-5088: Schwachstelle in V8 ermöglicht Denial-of-Service-Angriff

In Google Chrome und Chromium vor Version 59.0.3071.104 existiert eine nicht
näher spezifizierte Schwachstelle in der Komponente V8, durch die
Lesezugriffe außerhalb von Speichergrenzen möglich sind (Out-of-Bounds
Read). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle für einen Denial-of-Service (DoS)-Angriff ausnutzen.


CVE-2017-5087: Schwachstelle in IndexedDB ermöglicht Umgehen von
Sicherheitsvorkehrungen

In der Komponente IndexedDB in Google Chrome und Chromium vor Version
59.0.3071.104 existiert eine nicht näher beschriebene Schwachstelle, die es
ermöglicht aus der Sandbox auszubrechen. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um die
Sicherheitsvorkehrung der Sandbox zu umgehen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1037/>

Chrome Stable Channel Update, 15 Juni 2017:
<https://chromereleases.googleblog.com/2017/06/stable-channel-update-for-desktop_15.html>

Schwachstelle CVE-2017-5087 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5087>

Schwachstelle CVE-2017-5088 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5088>

Schwachstelle CVE-2017-5089 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5089>

Red Hat Security Advisory RHSA-2017:1495:
<http://rhn.redhat.com/errata/RHSA-2017-1495.html>

openSUSE Security Update openSUSE-SU-2017:1591-1:
<http://lists.opensuse.org/opensuse-updates/2017-06/msg00058.html>

openSUSE Security Update openSUSE-SU-2017:1593-1:
<http://lists.opensuse.org/opensuse-updates/2017-06/msg00060.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.