Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (06.03.2014):
Für openSuse 12.3 und 13.1 stehen jetzt Sicherheitsupdates zur Verfügung,
welche die Schwachstellen CVE-2013-6653 – CVE-2013-6661 beheben.
Version 1 (21.02.2014):
Neues Advisory
Betroffene Software:
Google Chrome <= 32.0.1700.103 Betroffene Plattformen: Apple Mac OS X Linux Kernel Microsoft Windows openSUSE 12.3 openSUSE 13.1 Google teilt mit, dass der "Stable Channel" von Google Chrome auf 33.0.1750.117 für Windows, Mac OS und Linux aktualisiert wurde. Mit diesem Update werden insgesamt 28 Sicherheitslücken behoben, von denen einige einem entfernten, nicht authentisierten Angreifer erlauben, entweder potentiell schädliche, manipulierte Varianten von Dateien einzuschleusen und auszuführen, Cross-Site-Scripting (XSS)-Angriffe gegen Benutzer durchzuführen, auf Webinhalte mit den Rechten des vorherigen Benutzers zuzugreifen oder Sicherheitsmechanismen zu umgehen und dadurch an vertrauliche Informationen zu gelangen. Patch: Google Chrome Security Advisory http://googlechromereleases.blogspot.de/2014/02/stable-channel-update_20.html
Patch:
openSUSE-SU-2014:0327-1
http://lists.opensuse.org/opensuse-updates/2014-03/msg00006.html
CVE-2013-6661: Mehrere Schwachstellen in Google Chrome
Zahlreiche Schwachstellen bestehen in Internen Audits, Fuzzing und anderen.
Von diesen erlauben 7 sogenannte “sandbox escapes” aus einem
kompromittierten Render-Programm. Diese Schwachstellen können von einem
entfernten, nicht authentisierten Angreifer ausgenutzt werden, um die
Umsetzung der Webinhalte in eine Bildschirmdarstellung durch den Webbrowser
zu manipulieren.
CVE-2013-6660: Schwachstelle in Google Chrome
Eine Schwachstelle besteht in einem Informationsleck für Drag-and-Drop.
Diese Schwachstelle kann von einem entfernten, nicht authentisierten
Angreifer ausgenutzt werden, um an Informationen zu gelangen.
CVE-2013-6659: Schwachstelle in Google Chrome
Eine Schwachstelle besteht in Bezug auf die Validierung von Zertifikaten
beim TLS-Handshake. Diese Schwachstelle kann von einem entfernten, nicht
authentisierten Angreifer ausgenutzt werden, um schon beim Aufbau einer
verschlüsselten Verbindung in diese einzudringen, d.h. zum Beispiel als
Man-in-the-Middle, um an vertrauliche Informationen zu gelangen.
CVE-2013-6658: Use-after-free Schwachstelle in Google Chrome
Eine Use-after-free Schwachstelle besteht im Layout. Diese Schwachstelle
kann von einem entfernten, nicht authentisierten Angreifer ausgenutzt
werden, um auf Layout-Parameter mit den Rechten des vorherigen Benutzers
zuzugreifen.
CVE-2013-6657: Schwachstelle in Google Chrome
Eine Schwachstelle besteht in einem Informationsleck im XSS-Auditor. Diese
Schwachstelle kann von einem entfernten, nicht authentisierten Angreifer
ausgenutzt werden, um den Cross-Site-Scripting (XSS) Auditor zu umgehen und
gezielter Cross-Site-Scripting (XSS)-Angriffe gegen Benutzer durchzuführen.
CVE-2013-6656: Schwachstelle in Google Chrome
Eine Schwachstelle besteht in einem Informationsleck im XSS-Auditor. Diese
Schwachstelle kann von einem entfernten, nicht authentisierten Angreifer
ausgenutzt werden, um den Cross-Site-Scripting (XSS) Auditor zu umgehen und
gezielter Cross-Site-Scripting (XSS)-Angriffe gegen Benutzer durchzuführen.
CVE-2013-6655: Use-after-free Schwachstelle in Google Chrome
Eine Use-after-free Schwachstelle besteht im Layout. Diese Schwachstelle
kann von einem entfernten, nicht authentisierten Angreifer ausgenutzt
werden, um auf Layout-Parameter mit den Rechten des vorherigen Benutzers
zuzugreifen.
CVE-2013-6654: Schwachstelle in Google Chrome
Eine Schwachstelle kann eine Bad-Cast-Exception in Scalable Vector Graphics
(SVG) verursachen. Diese Schwachstelle kann von einem entfernten, nicht
authentisierten Angreifer ausgenutzt werden, um die Darstellung durch den
Browser zu manipulieren.
CVE-2013-6653: Use-after-free Schwachstelle in Google Chrome
Eine Use-after-free Schwachstelle besteht in Verbindung mit Webinhalten.
Diese Schwachstelle kann von einem entfernten, nicht authentisierten
Angreifer ausgenutzt werden, um auf Webinhalte mit den Rechten des
vorherigen Benutzers zuzugreifen.
CVE-2013-6652: Schwachstelle in Google Chrome
Eine Schwachstelle besteht in Bezug auf relative Pfade in der Windows
Sandbox Named Pipe Policy. Diese Schwachstelle kann von einem entfernten,
nicht authentisierten Angreifer ausgenutzt werden, um potentiell schädliche,
manipulierte Varianten der verwendeten Dateien einzuschleusen und zur
Ausführung bringen zu lassen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0224/
Schwachstelle CVE-2013-6660 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6660
Schwachstelle CVE-2013-6653 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6653
Schwachstelle CVE-2013-6654 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6654
Schwachstelle CVE-2013-6656 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6656
Schwachstelle CVE-2013-6652 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6652
Schwachstelle CVE-2013-6657 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6657
Schwachstelle CVE-2013-6655 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6655
Schwachstelle CVE-2013-6658 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6658
Schwachstelle CVE-2013-6661 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6661
Schwachstelle CVE-2013-6659 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6659
Google Chrome Security Advisory:
http://googlechromereleases.blogspot.de/2014/02/stable-channel-update_20.html
openSUSE-SU-2014:0327-1:
http://lists.opensuse.org/opensuse-updates/2014-03/msg00006.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
