UPDATE: DFN-CERT-2017-1037 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][RedHat][SuSE][Apple][Windows]

UPDATE: DFN-CERT-2017-1037 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][RedHat][SuSE][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (20.06.2017):
Für Fedora 24, 25 und 26 sowie für Fedora EPEL 7 steht Chromium in der
Version 59.0.3071.104 als Sicherheitsupdate bereit. In der Meldung für
Fedora EPEL 7 werden zusätzlich zu den Schwachstellen der aktuellen
Version ebenfalls die Schwachstellen der Version 59.0.3071.86
referenziert.
Version 3 (19.06.2017):
Für die Red Hat Enterprise Linux 6 Produkte Desktop Supplementary, Server
Supplementary und Workstation Supplementary steht Chromium in der Version
59.0.3071.104 als Sicherheitsupdate bereit
Version 2 (19.06.2017):
Für openSUSE Leap 42.2 und SUSE Package Hub for SUSE Linux Enterprise 12
steht Chromium in der Version 59.0.3071.104 als Sicherheitsupdate bereit.
Version 1 (16.06.2017):
Neues Advisory

Betroffene Software:

Chromium < 59.0.3071.104 Google Chrome < 59.0.3071.104 Betroffene Plattformen: SUSE Package Hub for SUSE Linux Enterprise 12 Apple Mac OS X macOS Sierra GNU/Linux Microsoft Windows openSUSE Leap 42.2 Red Hat Enterprise Linux Desktop Supplementary 6 Red Hat Enterprise Linux Server Supplementary 6 Red Hat Enterprise Linux Workstation Supplementary 6 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 7 In Google Chrome und Chromium vor Version 59.0.3071.104 existieren fünf Schwachstellen, die von den verfügbaren Sicherheitsupdates behoben werden. Google listet von diesen Schwachstellen nur die drei explizit auf, die von externen Sicherheitsforschern entdeckt wurden. Die aufgeführten Schwachstellen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Darstellen falscher Informationen, das Umgehen von Sicherheitsvorkehrungen sowie die Durchführung eines Denial-of-Service (DoS)-Angriffs. Zwei der aufgelisteten Schwachstellen stuft der Hersteller in Bezug auf die Kritikalität als 'hoch' ein. Google veröffentlicht das Chrome Stable Channel Update for Desktop 59.0.3071.104 für Windows, Macintosh (Mac OS X und macOS Sierra) und Linux. Patch: Chrome Stable Channel Update, 15 Juni 2017 https://chromereleases.googleblog.com/2017/06/stable-channel-update-for-desktop_15.html

Patch:

Fedora Security Update FEDORA-2017-01e4d46f23 (Fedora 26,
chromium-59.0.3071.104-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-01e4d46f23

Patch:

Fedora Security Update FEDORA-2017-c2e1dc46a1 (Fedora 24,
chromium-59.0.3071.104-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-c2e1dc46a1

Patch:

Fedora Security Update FEDORA-2017-e8a1e1e62a (Fedora 25,
chromium-59.0.3071.104-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-e8a1e1e62a

Patch:

Red Hat Security Advisory RHSA-2017:1495

http://rhn.redhat.com/errata/RHSA-2017-1495.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1591-1

http://lists.opensuse.org/opensuse-updates/2017-06/msg00058.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1593-1

http://lists.opensuse.org/opensuse-updates/2017-06/msg00060.html

Patch:

Fedora Security Update FEDORA-EPEL-2017-30baf73207 (Fedora EPEL 7,
chromium-59.0.3071.104-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-30baf73207

CVE-2017-5089: Schwachstelle in Omnibox ermöglicht Darstellen falscher
Informationen

In Omnibox, welches von Google Chrome und Chromium vor Version 59.0.3071.104
verwendet wird, existiert eine nicht näher beschriebene Schwachstelle, die
es ermöglicht falsche Domänennamen darzustellen (Domain Spoofing). Ein
entfernter, nicht authentisierter Angreifer kann gefälschte
Domänen-Informationen darstellen und dies als Ausgangspunkt für weitere
Angriffe verwenden.

CVE-2017-5088: Schwachstelle in V8 ermöglicht Denial-of-Service-Angriff

In Google Chrome und Chromium vor Version 59.0.3071.104 existiert eine nicht
näher spezifizierte Schwachstelle in der Komponente V8, durch die
Lesezugriffe außerhalb von Speichergrenzen möglich sind (Out-of-Bounds
Read). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle für einen Denial-of-Service (DoS)-Angriff ausnutzen.

CVE-2017-5087: Schwachstelle in IndexedDB ermöglicht Umgehen von
Sicherheitsvorkehrungen

In der Komponente IndexedDB in Google Chrome und Chromium vor Version
59.0.3071.104 existiert eine nicht näher beschriebene Schwachstelle, die es
ermöglicht aus der Sandbox auszubrechen. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um die
Sicherheitsvorkehrung der Sandbox zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1037/

Chrome Stable Channel Update, 15 Juni 2017:
https://chromereleases.googleblog.com/2017/06/stable-channel-update-for-desktop_15.html

Schwachstelle CVE-2017-5087 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5087

Schwachstelle CVE-2017-5088 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5088

Schwachstelle CVE-2017-5089 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5089

Fedora Security Update FEDORA-2017-01e4d46f23 (Fedora 26,
chromium-59.0.3071.104-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-01e4d46f23

Fedora Security Update FEDORA-2017-c2e1dc46a1 (Fedora 24,
chromium-59.0.3071.104-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c2e1dc46a1

Fedora Security Update FEDORA-2017-e8a1e1e62a (Fedora 25,
chromium-59.0.3071.104-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e8a1e1e62a

Red Hat Security Advisory RHSA-2017:1495:
http://rhn.redhat.com/errata/RHSA-2017-1495.html

openSUSE Security Update openSUSE-SU-2017:1591-1:
http://lists.opensuse.org/opensuse-updates/2017-06/msg00058.html

openSUSE Security Update openSUSE-SU-2017:1593-1:
http://lists.opensuse.org/opensuse-updates/2017-06/msg00060.html

Fedora Security Update FEDORA-EPEL-2017-30baf73207 (Fedora EPEL 7,
chromium-59.0.3071.104-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-30baf73207

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben