Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Google Chrome < 35.0.1916.114 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Durch mehrere Schwachstellen in Google Chrome und V8 ist es einem entfernten, nicht authentifizierten Angreifer möglich, unterschiedliche Angriffe durchzuführen, darunter Cross-Site-Scripting (XSS) und "UI Spoofing". Ferner erlauben die Schwachstellen, deren Auswirkung im Einzelnen meist nicht näher spezifiziert wurde, einem solchen Angreifer, als Folge von Speicherkorruption, aufgrund von "Use-after-free", "Out-of-bounds-read", "Integer-Overflow" oder "Interger-Unterflow", wahrscheinlich das Ausspähen von Informationen, Ausführen von beliebigem Programmcode oder das Herbeiführen eines Denial-of-Service. Diese Schwachstellen werden durch ein Update auf die stabile Version Chrome 35.0.1916.114 behoben. Patch: Chrome Stable Channel Update http://googlechromereleases.blogspot.de/2014/05/stable-channel-update_20.html
CVE-2014-3152: Integer-Underflow-Schwachstelle in Google Chrome V8
Eine Integer-Underflow-Schwachstelle bestand in V8 und wurde in Version
3.25.28.16 behoben. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um nicht näher spezifizierte Angriffe
durchzuführen.
CVE-2014-1749: Interger-Underflow-Schwachstellen in Google Chrome
In Google Chrome existiert eine Interger-Underflow-Schwachstelle, die zu
einer Heap-Speicherkorruption führen kann. Die Schwachstelle kann von einem
entfernten, nicht authentisierten Angreifer ausgenutzt werden, um nicht
näher spezifizierte Angriffe durchzuführen.
CVE-2014-1748: UI-Spoofing-Schwachstelle in Google Chrome
Eine Schwachstelle in Google Chrome ermöglicht UI-Spoofing. Die
Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer das
Darstellen falscher Information auf dem User-Interface sowie eventuell
Benutzereingaben anstelle des Benutzers.
CVE-2014-1747: Schwachstelle in Google Chrome ermöglicht Universal XSS
Eine Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer
“Universal Cross-site-Scripting” (UXSS) mit lokalen MHTML-Dateien.
CVE-2014-1746: “Out-of-bounds read”-Schwachstelle in Google Chrome
Eine “Out-of-bounds read”-Schwachstelle in “media filters” ermöglicht einem
entfernten, nicht authentisierten Angreifer nicht spezifizierte Angriffe.
CVE-2014-1745: Use-after-free-Schwachstelle in Google Chrome
Eine Use-after-free-Schwachstelle in “SVG” ermöglicht einem entfernten,
nicht authentisierten Angreifer nicht spezifizierte Angriffe.
CVE-2014-1744: Intergerüberlauf-Schwachstelle in Google Chrome
Eine Integerüberlauf-Schwachstelle in “audio” ermöglicht einem entfernten,
nicht authentisierten Angreifer nicht spezifizierte Angriffe.
CVE-2014-1743: Use-after-free-Schwachstelle in Google Chrome
Eine Use-after-free-Schwachstelle in “styles” ermöglicht einem entfernten,
nicht authentisierten Angreifer nicht spezifizierte Angriffe.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0638/
Chrome Stable Channel Update:
http://googlechromereleases.blogspot.de/2014/05/stable-channel-update_20.html
Schwachstelle CVE-2014-1743 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1743
Schwachstelle CVE-2014-1744 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1744
Schwachstelle CVE-2014-1745 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1745
Schwachstelle CVE-2014-1746 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1746
Schwachstelle CVE-2014-1747 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1747
Schwachstelle CVE-2014-1748 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1748
Schwachstelle CVE-2014-1749 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1749
Schwachstelle CVE-2014-3152 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3152
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
