UPDATE: DFN-CERT-2015-0151 Google Chrome, Chrome OS: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe [Linux][RedHat][Windows]

UPDATE: DFN-CERT-2015-0151 Google Chrome, Chrome OS: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe [Linux][RedHat][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (11.02.2015):
Google veröffentlicht die Chrome OS Version 40.0.2214.114, die elf
Schwachstellen, von denen drei, CVE-2015-1209, CVE-2015-1210 und
CVE-2015-1211, explizit benannt werden, behebt. Red Hat stellt für Red Hat
Enterprise Linux 6 Supplementary aktualisierte Chromium-Browser Pakete zur
Verfügung. Und Canonical aktualisiert die Webbrowser Engine Bibliothek für
Qt, oxide-qt, für die Distributionen Ubuntu 14.10 und Ubuntu 14.04 LTS.
Version 2 (06.02.2015):
Google stellt Sicherheitsupdates von Chrome für Windows, Mac OS X und
Linux auf die Version 40.0.2214.111 zur Verfügung.
Version 1 (05.02.2015):
Neues Advisory

Betroffene Software:

Google Chrome < 40.0.2214.109 Google Chrome < 40.0.2214.111 oxide-qt Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 GNU/Linux Google Android Operating System Chrome OS < 40.0.2214.114 Microsoft Windows Red Hat Enterprise Linux Desktop Supplementary 6 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.6.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in Chrome vor Version 40.0.2214.109 für Android ermöglichen einem entfernten, nicht authentifizierten Angreifer verschiedene Angriffe, unter anderem das Umgehen von Sicherheitsvorkehrungen, die Ausweitung von Benutzerrechten oder Denial-of-Service-Angriffe. Google stellt Sicherheitsupdates von Chrome für Windows, Mac OS X und Linux auf die Version 40.0.2214.111 zur Verfügung. Patch: Chrome-Android-ADV-Wednesday, February 4, 2015 http://googlechromereleases.blogspot.de/2015/02/chrome-for-android-update.html

Patch:

Chrome-ADV-Thursday, February 5, 2015

http://googlechromereleases.blogspot.de/2015/02/stable-channel-update.html

Patch:

Chrome-ADV-Tuesday, February 10, 2015

http://googlechromereleases.blogspot.de/2015/02/stable-channel-update-for-chrome-os.html

Patch:

Red Hat Security Advisory RHSA-2015:0163

http://rhn.redhat.com/errata/RHSA-2015-0163.html

Patch:

Ubuntu Security Notice USN-2495-1

http://www.ubuntu.com/usn/usn-2495-1/

CVE-2015-1212: Mehrere Schwachstellen in Chrome ermöglichen unterschiedliche
Angriffe

Mehrere nicht näher spezifizierte Schwachstellen, die u.a. die
Speicherverwaltung betreffen, ermöglichen verschiedene nicht näher
beschriebene Angriffe. Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff und möglicherweise Angriffe mit anderen
Auswirkungen durchführen.

CVE-2015-1211: Schwachstelle in Service Diensten ermöglicht das Ausweiten
von Benutzerrechten

Eine Schwachstelle in der ‘OriginCanAccessServiceWorkers’-Funktion in
content/browser/service_worker/service_worker_dispatcher_host.cc in Google
Chrome ermöglicht, durch nicht detailliert spezifizierte Aktionen, die
Ausweitung von Benutzerrechten. Ein entfernter, nicht authentifizierter
Angreifer kann eine Privilegieneskalation durchführen.

CVE-2015-1210: Schwachstelle in Google V8 ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine nicht näher beschriebene Schwachstelle in Google V8, welches von Google
Chrome verwendet wird, ermöglicht das Umgehen der Same-Origin-Policy
(“gleiche Quelle”- Richtlinie). Ein entfernter, nicht authentifizierter
Angreifer kann durch das Ausnutzen der Schwachstelle Sicherheitsvorkehrungen
umgehen.

CVE-2015-1209: Schwachstelle in Chrome ermöglicht Denial-of-Service-Angriff

Eine Benutzen-Nach-Freigabe (Use-after-free)-Schwachstelle im
Dokument-Objekt-Modell (DOM) von Chrome ermöglicht einem entfernten, nicht
authentisierten Angreifer, durch nicht näher beschriebene Aktionen, einen
Programmabsturz herbeizuführen und eventuell über manipuliertes JavaScript
weiteren Einfluss auf das System zu nehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0151/

Chrome-Android-ADV-Wednesday, February 4, 2015:
http://googlechromereleases.blogspot.de/2015/02/chrome-for-android-update.html

Schwachstelle CVE-2015-1209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1209

Schwachstelle CVE-2015-1210 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1210

Schwachstelle CVE-2015-1211 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1211

Schwachstelle CVE-2015-1212 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1212

Chrome-ADV-Thursday, February 5, 2015:
http://googlechromereleases.blogspot.de/2015/02/stable-channel-update.html

Chrome-ADV-Tuesday, February 10, 2015:
http://googlechromereleases.blogspot.de/2015/02/stable-channel-update-for-chrome-os.html

Red Hat Security Advisory RHSA-2015:0163:
http://rhn.redhat.com/errata/RHSA-2015-0163.html

Ubuntu Security Notice USN-2495-1:
http://www.ubuntu.com/usn/usn-2495-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben