DFN-CERT-2015-0541 Google Chrome: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebiger Befehle [Linux][Windows]

DFN-CERT-2015-0541 Google Chrome: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebiger Befehle [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome < 42.0.2311.90 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Mehrere Schwachstellen in Google Chrome vor Version 42.0.2311.90 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausspähen vertraulicher Informationen, das Manipulation von Daten, das Umgehen von Sicherheitsvorkehrungen und die Ausführung beliebiger Befehle. Patch: Chrome-ADV-Tuesday, April 14, 2015 http://googlechromereleases.blogspot.de/2015/04/stable-channel-update_14.html

CVE-2015-1249: Mehrere Schwachstellen in Google Chrome

Google Chrome vor Version 42.0.2311.90 enthält mehrere nicht näher
spezifizierte Schwachstellen. Diese ermöglichen einem entfernten, nicht
authentifizierten Angreifer die Vertraulichkeit, die Integrität und die
Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2015-1248: Schwachstelle in Google Chrome ermöglicht Umgehen von
Sicherheitsvorkehrungen

Google Chrome vor Version 42.0.2311.90 enthält eine nicht näher
spezifizierte Schwachstelle. Diese ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Safe-Browsing-Mechanismen zu umgehen.

CVE-2015-1247: Schwachstelle in der OpenSearch-Komponente von Google Chrome

Google Chrome vor Version 42.0.2311.90 enthält eine nicht näher
spezifizierte Schwachstelle bei der Schema-Verarbeitung in der Komponente
OpenSearch. Diese ermöglicht einem entfernten Angreifer ohne
Authentifizierung vertrauliche Daten auszuspähen oder zu manipulieren.

CVE-2015-1246: Schwachstelle in Google Chrome ermöglicht Ausspähen von
Informationen

Google Chrome vor Version 42.0.2311.90 enthält eine nicht näher
spezifizierte Schwachstelle in der Komponente Blink. Dies kann von einem
entfernten Angreifer ohne Authentifizierung dazu verwendet werden, lesende
Speicherzugriffe außerhalb der Puffergrenzen durchzuführen und somit
vertrauliche Daten auszuspähen.

CVE-2015-1245: Use-After-Free-Schwachstelle in Google Chrome

Google Chrome vor Version 42.0.2311.90 enthält eine nicht näher
spezifizierte User-After-Free-Schwachstelle in der Komponente PDFium. Diese
ermöglicht einem entfernten Angreifer ohne Authentifizierung vertrauliche
Daten auszuspähen.

CVE-2015-1244: Schwachstelle in Google Chrome ermöglicht Umgehen von HSTS

In den WebSockets von Google Chrome kann unter bestimmten Umständen die HTTP
Strict Transport Security (HSTS) umgangen werden. Dies ermöglicht einem
entfernten Angreifer ohne Authentifizierung vertrauliche Informationen
auszuspähen oder deren Integrität zu beeinträchtigen.

CVE-2015-1242: Schwachstelle in Google Chrome

In der V8 Engine in Google Chrome vor Version 42.0.2311.90 kann es zu einer
Verwechslung der verwendeten Typen kommen (“Type Confusion”). Dies
ermöglicht einem entfernten Angreifer ohne Authentifizierung die
Vertraulichkeit, Integrität und Verfügbarkeit zu beeinträchtigen.

CVE-2015-1241: Schwachstelle in Google Chrome ermöglicht Ausspähen von
Informationen

Google Chrome vor Version 42.0.2311.90 enthält eine nicht näher
spezifizierte “Tab-Jacking”-Schwachstelle. Diese ermöglicht es einem
entfernten Angreifer einen Benutzer dazu zu bringen, vertrauliche Daten zu
übermitteln oder ungewollte Befehle zur Ausführung zu bringen.

CVE-2015-1240: Schwachstelle in Google Chrome ermöglicht Lesen fremden
Speichers

Google Chrome vor Version 42.0.2311.90 enthält in der WebGL-Komponente eine
nicht näher beschriebene Schwachstelle. Diese ermöglicht einem entfernten
Angreifer ohne Authentifizierung im Speicher des Browser über
Speichergrenzen hinweg zu lesen und somit lesenden Zugriff auf vertrauliche
Informationen zu erlangen.

CVE-2015-1238: Schwachstelle in Google Chrome ermöglicht Schreiben außerhalb
der Speichergrenzen

Google Chrome vor Version 42.0.2311.90 enthält in der Skia-Komponente eine
nicht näher beschriebene Schwachstelle. Diese ermöglicht einem entfernten
Angreifer ohne Authentifizierung im Speicher des Browser über
Speichergrenzen hinweg zu schreiben und somit den Speicher zu korrumpieren
oder die Anwendung zum Absturz zu bringen.

CVE-2015-1237: User-After-Free-Schwachstelle in Google Chrome

Google Chrome vor Version 42.0.2311.90 enthält eine
User-After-Free-Schwachstelle in der IPC-Komponente des Browsers. Diese
ermöglicht einem entfernten, nicht authentifizierten Angreifer Befehle zur
Ausführung zu bringen.

CVE-2015-1236: Cross-Origin-Bypass-Schwachstelle in Google Chrome

Google Chrome vor Version 42.0.2311.90 enthält eine
Cross-Origin-Bypass-Schwachstelle in der Blink-Komponente des Browsers.
Diese ermöglicht einem entfernten Angreifer die Cross-Origin-Beschränkungen
zu umgehen und Anfragen an unerlaubte Server zu schicken.

CVE-2015-1235: Cross-Origin-Bypass-Schwachstelle in Google Chrome

Google Chrome vor Version 42.0.2311.90 enthält eine
Cross-Origin-Bypass-Schwachstelle im HTML-Parser des Browsers. Diese
ermöglicht einem entfernten Angreifer die Cross-Origin-Beschränkungen zu
umgehen und Anfragen an unerlaubte Server zu schicken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0541/

Chrome-ADV-Tuesday, April 14, 2015:
http://googlechromereleases.blogspot.de/2015/04/stable-channel-update_14.html

Schwachstelle CVE-2015-1235 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1235

Schwachstelle CVE-2015-1236 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1236

Schwachstelle CVE-2015-1237 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1237

Schwachstelle CVE-2015-1238 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1238

Schwachstelle CVE-2015-1240 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1240

Schwachstelle CVE-2015-1241 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1241

Schwachstelle CVE-2015-1242 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1242

Schwachstelle CVE-2015-1244 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1244

Schwachstelle CVE-2015-1245 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1245

Schwachstelle CVE-2015-1246 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1246

Schwachstelle CVE-2015-1247 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1247

Schwachstelle CVE-2015-1248 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1248

Schwachstelle CVE-2015-1249 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1249

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben