DFN-CERT-2014-0430 Google Chrome: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe [Linux][Windows]

DFN-CERT-2014-0430 Google Chrome: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome <= 34.0.1847.115 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows Durch mehrere Schwachstellen in Google Chrome und V8 ist es einem entfernten, nicht authentifizierten Angreifer möglich, unterschiedliche Angriffe durchzuführen, darunter Denial-of-Service-Angriffe genauso wie Cross-Site-Scripting-Angriffe. Dieses Update beinhaltet auch ein Patch für Flash Player auf Version 13.0.0.182. Patch: google Hersteller-Advisory http://googlechromereleases.blogspot.de/2014/04/stable-channel-update.html

CVE-2014-1727: Schwachstelle in Google Chrome

Eine Use-after-free Schwachstelle besteht in Forms. Ein entfernter, nicht
authentifizierter Angreifer kann Denial-of-Service-Angriffe oder weitere
nicht spezifizierte Angriffe durchführen.

CVE-2014-1726: Schwachstelle in Google Chrome

Eine Local-Cross-Origin-Bypass Schwachstelle besteht in der
Drag-Implementierung von Google Chrome. Ein entfernter, nicht
authentifizierter Angreifer kann hierdurch Cross-Site-Scripting-Angriffe
durchführen, die die Same-Origin-Policy umgehen und lokale Dateinamen
fälschen.

CVE-2014-1725: Schwachstelle in Google Chrome

Eine Out-of-bounds-Lese Schwachstelle besteht in Google Chrome.Ein
entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen
oder weitere nicht spezifizierte Angriffe durchführen.

CVE-2014-1724: Schwachstelle in Google Chrome

Eine Use-after-free Schwachstelle besteht in Speech. Ein entfernter, nicht
authentifizierter Angreifer kann Denial-of-Service-Angriffe oder weitere
nicht spezifizierte Angriffe durchführen.

CVE-2014-1723: Schwachstelle in Google Chrome

In Google Chrome besteht eine URL-Konfusion mit RTL-Zeichen. Ein entfernter,
nicht authentifizierter Angreifer kann nicht spezifizierte Angriffe
durchführen.

CVE-2014-1722: Schwachstelle in Google Chrome

Eine Use-after-free Schwachstelle besteht im Rendering. Ein entfernter,
nicht authentifizierter Angreifer kann Denial-of-Service-Angriffe oder
weitere nicht spezifizierte Angriffe durchführen.

CVE-2014-1721: Schwachstelle in V8

Eine Memory-Corruption Schwachstelle besteht in V8. Ein entfernter, nicht
authentifizierter Angreifer kann Denial-of-Service-Angriffe oder weitere
nicht spezifizierte Angriffe durchführen.

CVE-2014-1720: Schwachstelle in Google Chrome

Eine Use-after-free Schwachstelle besteht in DOM. Ein entfernter, nicht
authentifizierter Angreifer kann Denial-of-Service-Angriffe oder weitere
nicht spezifizierte Angriffe durchführen.

CVE-2014-1719: Schwachstelle in Google Chrome

Eine Use-after-free Schwachstelle besteht in Web-Workers. Ein entfernter,
nicht authentifizierter Angreifer kann Denial-of-Service-Angriffe oder
weitere nicht spezifizierte Angriffe durchführen.

CVE-2014-1718: Schwachstelle in Google Chrome

Es besteht eine Integer-Overflow Schwachstelle in Compositor. Ein
entfernter, nicht authentifizierter Angreifer kann
Denial-of-Service-Angriffe oder weitere nicht spezifizierte Angriffe
durchführen.

CVE-2014-1717: Schwachstelle in V8

Eine Out-of-bounds-Schwachstelle besteht in V8. Ein entfernter, nicht
authentifizierter Angreifer kann Denial-of-Service-Angriffe oder weitere
nicht spezifizierte Angriffe durchführen.

CVE-2014-1716: Schwachstelle in V8

Eine Cross-Site-Scripting Schhwachstelle besteht in V8 in der Funktion
Runtime_SetPrototype function (runtime.cc). Ein entfernter, nicht
authentifizierter Angreifer kann Cross-Site-Scripting-Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0430/

google Hersteller-Advisory:
http://googlechromereleases.blogspot.de/2014/04/stable-channel-update.html

Schwachstelle CVE-2014-1716 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1716

Schwachstelle CVE-2014-1717 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1717

Schwachstelle CVE-2014-1718 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1718

Schwachstelle CVE-2014-1719 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1719

Schwachstelle CVE-2014-1720 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1720

Schwachstelle CVE-2014-1721 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1721

Schwachstelle CVE-2014-1722 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1722

Schwachstelle CVE-2014-1723 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1723

Schwachstelle CVE-2014-1724 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1724

Schwachstelle CVE-2014-1725 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1725

Schwachstelle CVE-2014-1726 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1726

Schwachstelle CVE-2014-1727 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1727

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben