DFN-CERT-2014-1571 Google Chrome: Mehrere Schwachstellen ermöglichen verschiedene Angriffe [Linux][RedHat]

DFN-CERT-2014-1571 Google Chrome: Mehrere Schwachstellen ermöglichen verschiedene Angriffe [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome < 39.0.2171.65 Betroffene Plattformen: Red Hat Enterprise Linux Desktop Supplementary 6 Red Hat Enterprise Linux HPC Node Supplementary 6 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.6.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Ein entfernter, nicht authentifizierter Angreifer kann durch das Ausnutzen der Schwachstellen falsche Informationen darstellen, Denial-of-Service Angriffe durchführen oder beliebigen Programmcode ausführen. Red Hat stellt für mehrere Versionen seiner Enterprise Linux Supplementary 6 Distribution Sicherheitsupdates in Form aktueller Pakete des Chrome-Browsers Version 39.0.2171.65 zur Verfügung, um diese Schwachstellen zu beheben. Patch: Google Chrome Stable Channel Update, 18.11.2014 http://googlechromereleases.blogspot.de/2014/11/stable-channel-update_18.html

Patch:

Red Hat Security Advisory RHSA-2014:1894

https://rhn.redhat.com/errata/RHSA-2014-1894.html

CVE-2014-7910: Mehrere Schwachstellen ermöglichen einen
Denial-of-Service-Angriff

Mehrere nicht näher beschriebene Schwachstellen führen zu einem
Denial-of-Service-Zustand oder anderen nicht näher beschriebenen
Auswirkungen. Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2014-7909: Schwachstelle in Skai ermöglicht einen
Denial-of-Service-Angriff

Eine Schwachstelle in der Datei effects/SkDashPathEffect.cpp in Skia führt
dazu, dass Hash-Schlüssel unter Verwendung von nicht initialisierten Integer
Werten berechnet werden. Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen.

CVE-2014-7908: Integer-Überlauf-Schwachstelle in media ermöglicht das
Ausführen von beliebigem Programmcode

Mehrere Interger-Überlauf-Schwachstellen in der CheckMov Funktion in
media/base/container_names.cc führt dazu, dass durch große Atome in MPEG4-
oder Quicktime-Filmen ein Integer-Überlauf ausgelöst wird. Ein entfernter,
nicht authentifizierter Angreifer kann mittels speziell präparierter MPEG4-
oder Quicktime-Dateien beliebigen Programmcode ausführen.

CVE-2014-7907: Benutzen-nach-Freigabe-Schwachstellen in Blink ermöglichen
das Ausführen von beliebigem Programmcode

Mehrere Benutzen-nach-Freigabe-Schwachstellen in
modules/screen_orientation/ScreenOrientationController.cpp in Blink führen
dazu, dass durch nicht näher beschriebene Aktionen ein Speicherbereich
genutzt wird, obwohl dieser bereits vom System freigegeben wurde. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch beliebigen
Programmcode ausführen.

CVE-2014-7906: Benutzen-nach-Freigabe-Schwachstelle in Pepper Plugins
ermöglicht das Ausführen von beliebiegem Programmcode

Eine Benutzen-nach-Freigabe-Schwachstelle in Pepper Plugins führt dazu, dass
auf Speicher zugegriffen wird, der bereits vom System freigegeben wurde. Ein
entfernter, nicht authentifizierter Angreifer kann die Schwachstelle mittels
speziell präparierter Flash-Inhalte dazu ausnutzen, beliebigen Programmcode
auszuführen.

CVE-2014-7904: Pufferüberlauf-Schwachstelle in Skia ermöglicht das Ausführen
von beliebigem Programmcode

Eine nicht näher beschriebene Schwachstelle in Skai führt dazu, dass durch
nicht näher beschriebene Aktionen ein Pufferüberlauf auftritt. Ein
entfernter, nicht authentifizierter Angreifer kann beliebigen Programmcode
ausführen.

CVE-2014-7899: Schwachstelle in Chrome URL-Adresszeile ermöglicht das
Darstellen falscher Informationen

Eine Schwachstelle in Chrome im Zusammenhang mit der URL-Adresszeile führt
dazu, dass statt der tatsächlichen URL eine beliebige URL angezeigt wird.
Ein entfernter, nicht authentifizierter Angreifer kann durch das Ausnutzen
der Schwachstelle falsche Informationen darstellen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1571/

Google Chrome Stable Channel Update, 18.11.2014:
http://googlechromereleases.blogspot.de/2014/11/stable-channel-update_18.html

Schwachstelle CVE-2014-7899 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7899

Schwachstelle CVE-2014-7904 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7904

Schwachstelle CVE-2014-7906 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7906

Schwachstelle CVE-2014-7907 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7907

Schwachstelle CVE-2014-7908 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7908

Schwachstelle CVE-2014-7909 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7909

Schwachstelle CVE-2014-7910 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7910

Red Hat Security Advisory RHSA-2014:1894:
https://rhn.redhat.com/errata/RHSA-2014-1894.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben