DFN-CERT-2014-0509 Google Chrome: Mehrere Schwachstellen ermöglichen das Umgehen von Zugriffsbeschränkungen und Denial-of-Service-Angriffe [Linux][Windows]

DFN-CERT-2014-0509 Google Chrome: Mehrere Schwachstellen ermöglichen das Umgehen von Zugriffsbeschränkungen und Denial-of-Service-Angriffe [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome < 34.0.1847.131 Google Chrome < 34.0.1847.132 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Mehrere Schwachstellen in Google V8 bzw. in Google Chrome erlauben einem entfernten, nicht authentisierten Angreifer entweder das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen oder einen Denial-of-Service-Angriff. Patch: Google Security Update April 2014 http://googlechromereleases.blogspot.com/2014/04/stable-channel-update_24.html

CVE-2014-1735: Mehrere Schwachstellen in Google V8 erlauben
Denial-of-Service

Mehrere unspezifizierte Schwachstellen existieren in Google V8 bevor
3.24.35.33, wie verwendet in Google Chrome bevor 34.0.1847.131 auf Windows
und OS X sowie bevor 34.0.1847.132 auf Linux. Diese Schwachstellen erlauben
einem entfernten, nicht authentisierten Angreifer einen
Denial-of-Service-Zustand herbeizuführen oder möglicherweise weitere
Angriffe durchzuführen.

CVE-2014-1734: Mehrere Schwachstellen in Google Chrome erlauben
Denial-of-Service

Mehrere unspezifizierte Schwachstellen existieren in Google Chrome bevor
34.0.1847.131 auf Windows und OS X und bevor 34.0.1847.132 auf Linux. Diese
Schwachstellen erlauben einem entfernten, nicht authentisierten Angreifer
einen Denial-of-Service-Zustand herbeizuführen oder möglicherweise weitere
nicht spezifizierte Angriffe durchzuführen.

CVE-2014-1733: Schwachstelle in Google Chrome erlaubt Umgehen von
Zugriffsbeschränkungen

Eine Schwachstelle in der “PointerCompare”-Funktion in “codegen.cc” in
“Seccomp-BPF”, wie verwendet in Google Chrome bevor 34.0.1847.131 auf
Windows und OS X und bevor 34.0.1847.132 auf Linux, besteht in einem
inkorrekten Zusammenführen von Blocks. Diese Schwachstelle erlaubt einem
entfernten, nicht authentisierten Angreifer vorgesehene
Sandbox-Beschränkungen zu umgehen, indem er “Renderer-Zugriff” ausnutzt.

CVE-2014-1732: Schwachstelle in Google Chrome erlaubt Denial-of-Service

Eine Use-after-free-Schwachstelle besteht in der Datei
“browser/ui/views/speech_recognition_bubble_views.cc” in Google Chrome bevor
34.0.1847.131 auf Windows und OS X sowie bevor 34.0.1847.132 auf Linux.
Diese Schwachstelle erlaubt einem entfernten, nicht authentisierten
Angreifer einen Denial-of-Service-Zustand herbeizuführen oder möglicherweise
weitere Angriffe über ein INPUT-Element durchzuführen, welches die
Anwesenheit eines “Speech Recognition Bubble”-Fensters für eine inkorrekte
Dauer triggert.

CVE-2014-1731: Schwachstelle in Google Chrome erlaubt Denial-of-Service

Eine Schwachstelle in “core/html/HTMLSelectElement.cpp” in der
DOM-Implementierung in der Funktion “Blink”, wie verwendet in Google Chrome
bevor 34.0.1847.131 auf Windows und OS X sowie bevor 34.0.1847.132 auf
Linux, besteht darin, dass der “Renderer” Status für ein Fokus Erreignis
nicht korrekt überprüft wird. Diese Schwachstelle erlaubt einem entfernten,
nicht authentisierten Angreifer einen Denial-of-Service-Zustand
herbeizuführen oder möglicherweise weitere Angriffe durchzuführen, indem er
“type confusion” für SELECT-Elemente ausnutzt.

CVE-2014-1730: Schwachstelle in Google V8 erlaubt Umgehen von
Zugriffsbeschränkungen

Eine Schwachstelle in Google V8, wie verwendet in Google Chrome bevor
34.0.1847.131 auf Windows und OS X und bevor 34.0.1847.132 auf Linux,
besteht darin, dass Internationalisierungsmetadaten nicht korrekt abgelegt
werden werden. Diese Schwachstelle erlaubt einem entfernten, nicht
authentisierten Angreifer vorgesehene Zugriffsbeschränkungen mittels “type
confusion” zu umgehen und dadurch Eigenschaftswerte bezüglich “i18n.js” und
“runtime.cc” auszulesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0509/

Google Security Update April 2014:
http://googlechromereleases.blogspot.com/2014/04/stable-channel-update_24.html

Schwachstelle CVE-2014-1730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1730

Schwachstelle CVE-2014-1731 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1731

Schwachstelle CVE-2014-1732 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1732

Schwachstelle CVE-2014-1733 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1733

Schwachstelle CVE-2014-1734 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1734

Schwachstelle CVE-2014-1735 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1735

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben