DFN-CERT-2014-0322 Chrome OS: Mehrere Schwachstellen ermöglichen die Ausführung beliebiger Befehle [Linux]

DFN-CERT-2014-0322 Chrome OS: Mehrere Schwachstellen ermöglichen die Ausführung beliebiger Befehle [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Chrome OS <= 33.0.1750.151 Betroffene Plattformen: Chrome OS Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebige Befehle zur Ausführung zu bringen. Patch: Google Hersteller-Advisory http://googlechromereleases.blogspot.de/2014/03/stable-channel-update-for-chrome-os_14.html

CVE-2014-1711: Schwachstelle im GPU Treiber im Chrome OS

Im Kernel des Google Chrome OS kann es im GPU Treiber zu einem schreibenden
Speicherzugriff außerhalb der Puffergrenzen kommen. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer beliebige Daten mit den
Rechten des Kernels in diese Speicherbereiche zu schreiben.

CVE-2014-1710: Speicherkorruption in Google Chrome OS

Im Google Chrome OS kann es im GPU Befehlspuffer zu einer Korruption des
Speichers kommen. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer beliebige Befehle zur Ausführung zu bringen.

CVE-2014-1708: Schwachstelle in Chrome OS

Chrome OS enthält eine Schwachstelle im Zusammenhang mit persistenten
Dateien beim Bootprozess. Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer nicht spezifizierten Einfluss auf das System zu
nehmen.

CVE-2014-1707: Schwachstelle in CrosDisks ermöglicht Pfad Traversal

Google Chrome OS enthält eine nicht näher spezifizierte Schwachstelle in
CrosDisks. Diese ermöglicht einem entfernten, nicht authentifizierten
Angreifer Pfad Traversal Angriffe durchzuführen.

CVE-2014-1706: Schwachstelle in Crosh ermöglicht Einschleusen von Befehlen

Google Chrome OS enthält eine nicht näher spezifizierte Schwachstelle in
Crosh. Diese ermöglicht es einem entfernten, nicht authentifizierten
Angreifer Befehle einzuschleusen und zur Ausführung zu bringen.

CVE-2014-1713: Use-After-Free Schwachstelle in Google Chrome

Google Chrome enthält in den Blink Bindings eine
Use-After-Free-Schwachstelle. Diese ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Beschränkungen der Sandbox zu umgehen und
beliebige Befehle mit den Rechten von Google Chrome zur Ausführung zu
bringen.

CVE-2014-1705: Speicherkorruption in Google V8

In der Google V8 JavaScript Engine kann es zu einer Korruption des Speichers
kommen. Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer
beliebige Befehle außerhalb der Sandbox zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0322/

Google Hersteller-Advisory:
http://googlechromereleases.blogspot.de/2014/03/stable-channel-update-for-chrome-os_14.html

Schwachstelle CVE-2014-1705 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1705

Schwachstelle CVE-2014-1707 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1707

Schwachstelle CVE-2014-1713 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1713

Schwachstelle CVE-2014-1706 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1706

Schwachstelle CVE-2014-1708 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1708

Schwachstelle CVE-2014-1710 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1710

Schwachstelle CVE-2014-1711 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1711

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben