UPDATE: DFN-CERT-2016-1257 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE][Apple][Windows]

UPDATE: DFN-CERT-2016-1257 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.08.2016):
Für openSUSE 13.2, openSUSE Leap 42.1 und SUSE Package Hub for SUSE Linux
Enterprise 12 stehen Sicherheitsupdates für den Chromium Browser auf die
Version 52.0.2743.116 bereit
Version 1 (04.08.2016):
Neues Advisory

Betroffene Software:

Chromium < 52.0.2743.116 Google Chrome < 52.0.2743.116 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows openSUSE 13.2 openSUSE Leap 42.1 Mehrere Schwachstellen in Google Chrome vor Version 52.0.2743.116 auf Windows, Mac OS X und Linux Systemen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, Umgehen von Sicherheitsvorkehrungen, Darstellen falscher und das Ausspähen von Informationen, Durchführen von Denial-of-Service (DoS)-Angriffen sowie weitere nicht spezifizierte Angriffe. Die Schwachstellen werden mit dem Stable Channel Update auf die Chrome Version 52.0.2743.116 behoben. Patch: Chrome Stable Channel Update, 03. August 2016 http://googlechromereleases.blogspot.de/2016/08/stable-channel-update-for-desktop.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1982-1

http://lists.opensuse.org/opensuse-updates/2016-08/msg00031.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1983-1

http://lists.opensuse.org/opensuse-updates/2016-08/msg00032.html

CVE-2016-5146: Schwachstellen in Google Chrome ermöglichen nicht
spezifizierte Angriffe

Mehrere nicht näher beschriebene Schwachstellen in Google Chrome und
Chromium vor Version 52.0.2743.116, die u.a. über interne Audits
festgestellt wurden, ermöglichen einem entfernten, möglicherweise nicht
authentifizierten Angreifer das Durchführen nicht spezifizierter Angriffe.

CVE-2016-5145: Schwachstelle in Blink ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Google Chrome und Chromium vor Version 52.0.2743.116 existiert eine nicht
näher spezifizierte Same-Origin-Bypass-Schwachstelle in der Komponente
Blink. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

CVE-2016-5143 CVE-2016-5144: Schwachstellen in DevTools ermöglichen Umgehen
von Sicherheitsvorkehrungen

In Google Chrome und Chromium vor Version 52.0.2743.116 existieren zwei
nicht näher spezifizierte Schwachstellen in der Komponente DevTools, die auf
der ungenügenden Bereinigung von Parametern beruhen. Ein entfernter, nicht
authentifizierter Angreifer kann durch Ausnutzen der Schwachstellen mittels
einer präparierten URL beabsichtigte Zugriffsbeschränkungen umgehen und
dadurch Informationen ausspähen.

CVE-2016-5142: Schwachstelle in Blink ermöglicht Ausführen beliebigen
Programmcodes

In Google Chrome und Chromium vor Version 52.0.2743.116 existiert eine nicht
näher beschriebene Schwachstelle in der Komponente Blink, durch die
Speicherbereiche nach deren Freigabe weiterhin verwendet werden können
(Use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann
durch das Ausnutzen der Schwachstelle einen Denial-of-Service (DoS)-Zustand
herbeiführen oder möglicherweise beliebigen Programmcode zur Ausführung
bringen.

CVE-2016-5141: Schwachstelle in Google Chrome ermöglicht Darstellen falscher
Informationen

In Google Chrome und Chromium vor Version 52.0.2743.116 existiert eine nicht
näher beschriebene Schwachstelle, die es erlaubt falsche Informationen in
der Adresszeile des Browsers (Adress Bar) darzustellen und so einen Benutzer
irrezuführen (Spoofing), wodurch weitere nicht spezifizierte Angriffe
möglich werden. Ein entfernter, nicht authentifizierter Angreifer kann
falsche Informationen darstellen.

CVE-2016-5139 CVE-2016-5140: Heap-Speicherüberlauf-Schwachstellen in PDFium
ermöglichen Ausführen beliebigen Programmcodes

In Google Chrome und Chromium vor Version 52.0.2743.116 existieren zwei
nicht näher spezifizierte Schwachstellen in der Komponente PDFium, die es
ermöglichen den Heap-Pufferspeicher zum Überlauf zu bringen (Heap Buffer
Overflow). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstellen ausnutzen, um einen Denial-of-Service (DoS)-Angriff
durchzuführen oder vermutlich beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1257/

Chrome Stable Channel Update, 03. August 2016:
http://googlechromereleases.blogspot.de/2016/08/stable-channel-update-for-desktop.html

Schwachstelle CVE-2016-5139 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5139

Schwachstelle CVE-2016-5140 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5140

Schwachstelle CVE-2016-5141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5141

Schwachstelle CVE-2016-5142 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5142

Schwachstelle CVE-2016-5143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5143

Schwachstelle CVE-2016-5144 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5144

Schwachstelle CVE-2016-5145 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5145

Schwachstelle CVE-2016-5146 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5146

openSUSE Security Update openSUSE-SU-2016:1982-1:
http://lists.opensuse.org/opensuse-updates/2016-08/msg00031.html

openSUSE Security Update openSUSE-SU-2016:1983-1:
http://lists.opensuse.org/opensuse-updates/2016-08/msg00032.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben