UPDATE: DFN-CERT-2014-0740 Google Chrome: Mehrere Schwachstellen u.a. durch Pufferüberläufe [Linux][Debian][Windows]

UPDATE: DFN-CERT-2014-0740 Google Chrome: Mehrere Schwachstellen u.a. durch Pufferüberläufe [Linux][Debian][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (16.06.2014):
Für die Distributionen Debian Wheezy und Jessie stehen Sicherheitsupdates
bereit.
Version 1 (11.06.2014):
Neues Advisory

Betroffene Software:

Google Chrome <= 35.0.1916.152 Betroffene Plattformen: Apple Mac OS X Debian Linux 7.5 Wheezy Debian Linux 8.0 Jessie GNU/Linux Google Android Operating System Microsoft Windows Durch vier Schwachstellen in Google Chrome ist es einem entfernten, nicht authentifizierten Angreifer möglich, unterschiedliche Angriffe durchzuführen. Die Schwachstellen erlauben einem solchen Angreifer, als Folge von "Use-after-free", "Out-of-bounds-read" oder Pufferüberläufen das Ausspähen von Informationen, das Herbeiführen von Denial-of-Service-Zuständen bis hin zum Ausführen von beliebigem Programmcode. Diese Schwachstellen werden durch ein Update auf die stabile Version Chrome 35.0.1916.153 behoben, wobei auch der Adobe Flash Player auf Version 14.0.0.125 bzw. Adobe AIR auf Version 14.0.0.110 aktualisiert wurde. Patch: Chrome Stable Channel Update, 10.06.2014 http://googlechromereleases.blogspot.de/2014/06/stable-channel-update.html

Patch:

Debian Security Advisory DSA-2959-1

https://www.debian.org/security/2014/dsa-2959

CVE-2014-3157: Unterschiede zur Zuweisung von FFmpeg Video-Frames

Durch eine unterschiedliche Behandlung alloziierter Video-Frames und fest
programmierter Werte in einer verwendeten FFmpeg-Bibliothek, wie groß solche
Frames sind, kann es zum Überschreiben von Speicherbereichen oder zum
Einlesen nicht zum Frame zugehöriger Daten kommen.

CVE-2014-3156: Pufferüberlauf in Clipboard

Bei der Berechnung der Größe des Grafikobjektes im Clipboard-Speicher sowie
bei der Behandlung der Grafikobjekte selbst gibt es Programmierfehler, die
zu Pufferüberläufen führen können.

CVE-2014-3155: Sicherheitslücke in SPDY

Im Zusammenhang mit Lese- und Schreiboperationen in der SPDY-Implementierung
kommt es zu Sicherheitslücken, weil wiederholte Aufrufe (re-entry) nicht
ausreichend abgesichert sind.

CVE-2014-3154: Verwendung von Speicher nach Freigabe

Die Verwendung bereits freigegebener Speicherbereiche in der filesystem API
erlaubt Angriffe auf den Google Chrome-Browser, die zu einem
Denial-of-Service führen oder weitere Auswirkungen haben können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0740/

Chrome Stable Channel Update, 10.06.2014:
http://googlechromereleases.blogspot.de/2014/06/stable-channel-update.html

Schwachstelle CVE-2014-3154 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3154

Schwachstelle CVE-2014-3155 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3155

Schwachstelle CVE-2014-3156 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3156

Schwachstelle CVE-2014-3157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3157

Debian Security Advisory DSA-2959-1:
https://www.debian.org/security/2014/dsa-2959

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben