UPDATE: DFN-CERT-2014-1054 Google Chrome: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Unix][Windows][Netzwerk]

UPDATE: DFN-CERT-2014-1054 Google Chrome: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Unix][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (21.08.2014):
Ubuntu hat für die Distribution Ubuntu 14.04 LTS Sicherheitspatches
veröffentlicht.
Version 1 (13.08.2014):
Neues Advisory

Betroffene Software:

Google Chrome < 36.0.1985.135 Google Chrome < 36.0.1985.143 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 14.04 Lts GNU/Linux Google Android Operating System Microsoft Windows Durch mehrere Schwachstellen in Google Chrome kann ein entfernter, nicht authentifizierter Angreifer Denial-of-Service-Angriffe durchführen, Informationen ausspähen oder weitere nicht näher spezifizierte Angriffe ausführen. Patch: Chrome Stable Channel Update, 12.08.2014 http://googlechromereleases.blogspot.de/2014/08/stable-channel-update.html

Patch:

Chrome for Android Update, 12.08.2014

http://googlechromereleases.blogspot.de/2014/08/chrome-for-android-update.html

Patch:

Ubuntu Security Notice USN-2320-1

http://www.ubuntu.com/usn/usn-2320-1/

CVE-2014-3167: Schwachstelle in Google Chrome ermöglicht Denial-of-Service

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Google
Chrome vor der Version 36.0.1985.143. Ein entfernter, nicht
authentifizierter Angreifer kann Denial-of-Service-Angriffe durchführen oder
andere nicht näher spezifizierte Angriffe.

CVE-2014-3166: Schwachstelle in Google Chrome ermöglicht das Ausspähen von
Informationen

Es existiert eine Schwachstelle in der Public Key Pinning (PKP)
Implementation von Google Chrome vor der Version 36.0.1985.143 für Windows,
OS X und Linux und vor der Version 36.0.1985.135 für Android. Die
Eigenschaften der SPDY-Verbindungen werden nicht korrekt berücksichtigt. Ein
entfernter, nicht authentifizierter Angreifer kann, durch die Verwendung
mehrerer Domain-Namen, Informationen ausspähen.

CVE-2014-3165: Use-after-free-Schwachstelle in Google Chrome

Es existiert eine Use-after-free-Schwachstelle in
“modules/websockets/WorkerThreadableWebSocketChannel.cpp” in der Web-Socket
Implementation in Blink, welches von Google Chrome genutzt wird. Ein
entfernter, nicht authentifizierter Angreifer kann
Denial-of-Service-Angriffe durchführen oder möglicherweise andere nicht
näher spezifizierte Angriffe, die durch eine unerwartete Lebensdauer eines
temporären Objekts bei der Beendigung einer Methode ausgelöst werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1054/

Chrome Stable Channel Update, 12.08.2014:
http://googlechromereleases.blogspot.de/2014/08/stable-channel-update.html

Chrome for Android Update, 12.08.2014:
http://googlechromereleases.blogspot.de/2014/08/chrome-for-android-update.html

Schwachstelle CVE-2014-3165 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3165

Schwachstelle CVE-2014-3166 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3166

Schwachstelle CVE-2014-3167 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3167

Ubuntu Security Notice USN-2320-1:
http://www.ubuntu.com/usn/usn-2320-1/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben