DFN-CERT-2016-0887 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Apple][Windows]

DFN-CERT-2016-0887 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Chromium < 51.0.2704.79 Google Chrome < 51.0.2704.79 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Mehrere Schwachstellen in Google Chrome vor Version 51.0.2704.79 auf Windows, Mac OS X und Linux Systemen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, Ausspähen von Informationen, Durchführen eines Denial-of-Service-Angriffs, möglicherweise das Ausführen beliebigen Programmcodes sowie mehrere nicht spezifizierter Angriffe. Die Schwachstellen werden mit dem Stable Channel Update auf die Chrome Version 51.0.2704.79 behoben. Patch: Chrome Stable Channel Update, 01. Juni 2016 http://googlechromereleases.blogspot.de/2016/06/stable-channel-update.html

CVE-2016-1703: Mehrere Schwachstellen in Google Chrome

Mehrere nicht näher beschriebene Schwachstellen in Google Chrome und
Chromium vor Version 51.0.2704.79 ermöglichen einem entfernten,
wahrscheinlich nicht authentifizierten Angreifer das Durchführen nicht
spezifizierter Angriffe.

CVE-2016-1702: Schwachstelle in Skia ermöglicht Denial-of-Service-Angriff

In Google Chrome und Chromium vor Version 51.0.2704.79 existiert eine nicht
näher spezifizierte Schwachstelle in der Komponente Skia, durch die
Lesezugriffe außerhalb von Speichergrenzen möglich sind (Out-of-bounds
read). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle für einen Denial-of-Service (DoS)-Angriff ausnutzen.

CVE-2016-1701: Schwachstelle in Autofill ermöglicht Ausführen beliebigen
Programmcodes

In Google Chrome und Chromium vor Version 51.0.2704.79 existiert eine nicht
näher beschriebene Schwachstelle in der Komponente Autofill, durch die
Speicher nach dessen Freigabe weiterhin verwendet werden kann
(Use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann
durch das Ausnutzen der Schwachstelle einen Denial-of-Service (DoS)-Zustand
herbeiführen oder möglicherweise beliebigen Programmcode zur Ausführung
bringen.

CVE-2016-1700: Schwachstelle in Extensions ermöglicht Ausführen beliebigen
Programmcodes

In Google Chrome und Chromium vor Version 51.0.2704.79 existiert eine nicht
näher beschriebene Schwachstelle in den Extensions, durch die Speicher nach
dessen Freigabe weiterhin verwendet werden kann (Use-after-free). Ein
entfernter, nicht authentifizierter Angreifer kann durch das Ausnutzen der
Schwachstelle einen Denial-of-Service (DoS)-Zustand herbeiführen oder
möglicherweise beliebigen Programmcode zur Ausführung bringen.

CVE-2016-1699: Schwachstelle in DevTools ermöglicht nicht spezifizierte
Angriffe

In Google Chrome und Chromium vor Version 51.0.2704.79 existiert eine nicht
näher spezifizierte Schwachstelle in DevTools, die auf der ungenügenden
Bereinigung von Parametern beruht. Ein entfernter, nicht authentifizierter
Angreifer kann durch das Ausnutzen der Schwachstelle die Integrität,
Vertraulichkeit und Verfügbarkeit des Systems beeinträchtigen.

CVE-2016-1698: Schwachstelle in Extensions Bindings ermöglicht Ausspähen von
Informationen

In Google Chrome und Chromium vor Version 51.0.2704.79 existiert eine nicht
näher spezifizierte Schwachstelle in Extension Bindings, durch die ungewollt
Informationen offengelegt werden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen und Informationen ausspähen.

CVE-2016-1697: Schwachstelle in Blink ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Google Chrome und Chromium vor Version 51.0.2704.79 existiert eine nicht
näher spezifizierte Cross-Origin-Bypass-Schwachstelle in der Komponente
Blink. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

CVE-2016-1696: Schwachstelle in Extension Bindings ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Google Chrome und Chromium vor Version 51.0.2704.79 existiert eine nicht
näher spezifizierte Cross-Origin-Bypass-Schwachstelle in Extension Bindings.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0887/

Chrome Stable Channel Update, 01. Juni 2016:
http://googlechromereleases.blogspot.de/2016/06/stable-channel-update.html

Schwachstelle CVE-2016-1696 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1696

Schwachstelle CVE-2016-1697 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1697

Schwachstelle CVE-2016-1698 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1698

Schwachstelle CVE-2016-1699 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1699

Schwachstelle CVE-2016-1700 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1700

Schwachstelle CVE-2016-1701 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1701

Schwachstelle CVE-2016-1702 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1702

Schwachstelle CVE-2016-1703 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1703

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben