Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome < 39.0.2171.65 oxide-qt Betroffene Plattformen: Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Mehrere Schwachstellen in dem auf Google Chrome basierenden Oxide ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchführen oder beliebigen Programmcode ausführen kann. Für Ubuntu 14.10 und Ubuntu 14.04 LTS werden diese Schwachstellen durch aktualisierte Pakete von oxide-qt 1.3.4 behoben. Patch: Google Chrome Stable Channel Update, 18.11.2014 http://googlechromereleases.blogspot.de/2014/11/stable-channel-update_18.html

Patch:

Ubuntu Security Notice USN-2410-1

http://www.ubuntu.com/usn/usn-2410-1/

CVE-2014-7910: Mehrere Schwachstellen ermöglichen einen
Denial-of-Service-Angriff

Mehrere nicht näher beschriebene Schwachstellen führen zu einem
Denial-of-Service-Zustand oder anderen nicht näher beschriebenen
Auswirkungen. Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2014-7909: Schwachstelle in Skai ermöglicht einen
Denial-of-Service-Angriff

Eine Schwachstelle in der Datei effects/SkDashPathEffect.cpp in Skia führt
dazu, dass Hash-Schlüssel unter Verwendung von nicht initialisierten Integer
Werten berechnet werden. Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen.

CVE-2014-7908: Integer-Überlauf-Schwachstelle in media ermöglicht das
Ausführen von beliebigem Programmcode

Mehrere Interger-Überlauf-Schwachstellen in der CheckMov Funktion in
media/base/container_names.cc führt dazu, dass durch große Atome in MPEG4-
oder Quicktime-Filmen ein Integer-Überlauf ausgelöst wird. Ein entfernter,
nicht authentifizierter Angreifer kann mittels speziell präparierter MPEG4-
oder Quicktime-Dateien beliebigen Programmcode ausführen.

CVE-2014-7907: Benutzen-nach-Freigabe-Schwachstellen in Blink ermöglichen
das Ausführen von beliebigem Programmcode

Mehrere Benutzen-nach-Freigabe-Schwachstellen in
modules/screen_orientation/ScreenOrientationController.cpp in Blink führen
dazu, dass durch nicht näher beschriebene Aktionen ein Speicherbereich
genutzt wird, obwohl dieser bereits vom System freigegeben wurde. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch beliebigen
Programmcode ausführen.

CVE-2014-7904: Pufferüberlauf-Schwachstelle in Skia ermöglicht das Ausführen
von beliebigem Programmcode

Eine nicht näher beschriebene Schwachstelle in Skai führt dazu, dass durch
nicht näher beschriebene Aktionen ein Pufferüberlauf auftritt. Ein
entfernter, nicht authentifizierter Angreifer kann beliebigen Programmcode
ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1520/

Google Chrome Stable Channel Update, 18.11.2014:
http://googlechromereleases.blogspot.de/2014/11/stable-channel-update_18.html

Schwachstelle CVE-2014-7904 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7904

Schwachstelle CVE-2014-7907 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7907

Schwachstelle CVE-2014-7908 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7908

Schwachstelle CVE-2014-7909 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7909

Schwachstelle CVE-2014-7910 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7910

Ubuntu Security Notice USN-2410-1:
http://www.ubuntu.com/usn/usn-2410-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.