DFN-CERT-2013-1042 Mehrere Schwachstellen in Chromium [Linux][Debian]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket chromium-browser in Debian GNU/Linux 7.0 (wheezy) vor Version
27.0.1453.93-1~deb7u1
Für Pakete in (jessie) werden Patches nachgereicht
Paket chromium-browser in Debian GNU/Linux unstable (sid) vor Version
27.0.1453.93-1

Betroffene Plattformen:

Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux testing (jessie)
Debian GNU/Linux unstable (sid)

Mehrere Schwachstellen in Chromium ermöglichen einem entfernten Angreifer
schlimmstenfalls beliebige Befehle auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2013-2839: Schwachstelle in Google Chrome

Google Chrome vor Version 27.0.1453.93 führt eine Typenumwandlung einer
nicht näher genannten Variable bei der Verarbeitung von Daten aus der
Zwischenablage fehlerhaft durch. Diese ermöglicht einem entfernten Angreifer
die Anwendung zum Absturz zu bringen oder anderen nicht näher spezifizierten
Einfluss auf das System zu nehmen.

CVE-2013-2848: Schwachstelle in Google Chrome

Google Chrome vor Version 27.0.1453.93 enthält im XSS Auditor ein nicht
näher beschriebene Schwachstelle. Diese ermöglicht einem Angreifer Zugriff
auf vertrauliche Informationen zu erlangen.

CVE-2013-2843: Use-After-Free-Schwachstelle in Google Chrome

Google Chrome vor Version 27.0.1453.93 enthält bei der Verarbeitung von
Sprachdaten eine nicht näher beschriebene Use-After-Free-Schwachstelle.
Diese ermöglicht einem entfernten Angreifer die Anwendung zum Absturz zu
bringen oder anderen nicht näher spezifizierten Einfluss auf das System zu
nehmen.

CVE-2013-2841: Use-After-Free-Schwachstelle in Google Chrome

Google Chrome vor Version 27.0.1453.93 enthält bei der Verarbeitung von
Pepper-Ressourcen eine nicht näher beschriebene
Use-After-Free-Schwachstelle. Diese ermöglicht einem entfernten Angreifer
die Anwendung zum Absturz zu bringen oder anderen nicht näher spezifizierten
Einfluss auf das System zu nehmen.

CVE-2013-2837: Use-After-Free-Schwachstelle in Google Chrome

Google Chrome enthält in der SVG-Implementierung eine nicht näher
beschriebene Use-After-Free-Schwachstelle. Diese ermöglicht einem entfernten
Angreifer die Anwendung zum Absturz zu bringen oder anderen nicht näher
spezifizierten Einfluss auf das System zu nehmen.

CVE-2013-2838: Schwachstelle in Google V8

In Google V8 kann es zu einem lesenden Speicherzugriff außerhalb der
Feldgrenzen kommen. Dies ermöglicht einem entfernten Angreifer einen
Denial-of-Service-Angriff durchzuführen.

CVE-2013-2844: Use-After-Free-Schwachstelle in Google Chrome

Google Chrome vor Version 27.0.1453.93 enthält in der CSS-Implementierung
eine nicht näher beschriebene Use-After-Free-Schwachstelle. Diese ermöglicht
einem entfernten Angreifer die Anwendung zum Absturz zu bringen oder anderen
nicht näher spezifizierten Einfluss auf das System zu nehmen.

CVE-2013-2842: Use-After-Free-Schwachstelle in Google Chrome

Google Chrome vor Version 27.0.1453.93 enthält bei der Verarbeitung von
Widgets eine nicht näher beschriebene Use-After-Free-Schwachstelle. Diese
ermöglicht einem entfernten Angreifer die Anwendung zum Absturz zu bringen
oder anderen nicht näher spezifizierten Einfluss auf das System zu nehmen.

CVE-2013-2845: Schwachstelle in Google Chrome

Google Chrome vor Version 27.0.1453.93 enthält in der
Web-Audio-Implementierung Korruption des Speichers. Diese ermöglicht einem
entfernten Angreifer die Anwendung zum Absturz zu bringen oder anderen nicht
näher spezifizierten Einfluss auf das System zu nehmen.

CVE-2013-2847: Schwachstelle in Google Chrome

Google Chrome vor Version 27.0.1453.93 enthält in der
Workers-Implementierung eine Race Condition. Diese ermöglicht einem
entfernten Angreifer die Anwendung zum Absturz zu bringen oder anderen nicht
näher spezifizierten Einfluss auf das System zu nehmen.

CVE-2013-2840: Use-After-Free-Schwachstelle in Google Chrome

Google Chrome vor Version 27.0.1453.93 enthält im Media-Loader eine nicht
näher beschriebene Use-After-Free-Schwachstelle. Diese ermöglicht einem
entfernten Angreifer die Anwendung zum Absturz zu bringen oder anderen nicht
näher spezifizierten Einfluss auf das System zu nehmen.

CVE-2013-2846: Use-After-Free-Schwachstelle in Google Chrome

CVE-2013-2849: Cross-site-Scripting-Schwachstellen in Google Chrome

Google Chrome vor Version 27.0.1453.93 enthält mehrere nicht näher
beschriebene Cross-site-Scripting-Schwachstellen. Diese ermöglichen einem
entfernten Angreifer beliebige HTML- und Script-Befehle im Browser des
Benutzers zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1042/

Das Hersteller Advisory:
http://www.debian.org/security/2013/dsa-2695

Schwachstelle CVE-2013-2837:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2837

Schwachstelle CVE-2013-2838:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2838

Schwachstelle CVE-2013-2839:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2839

Schwachstelle CVE-2013-2840:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2840

Schwachstelle CVE-2013-2841:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2841

Schwachstelle CVE-2013-2842:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2842

Schwachstelle CVE-2013-2843:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2843

Schwachstelle CVE-2013-2844:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2844

Schwachstelle CVE-2013-2845:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2845