DFN-CERT-2014-0202 Debian Linux, Chromium Browser: Mehrere Schwachstellen ermöglichen Ausführen beliebigen Programmcodes mit Benutzerrechten [Linux][Debian]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome <= 32.0.1700.102 Betroffene Plattformen: Debian Linux 7.3 Wheezy Mehrere Schwachstellen im Chromium Browser ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebige Befehle mit den Rechten des Benutzers auszuführen, Informationen auszuspähen oder einen Denial-of-Service-Angriff durchzuführen. Patch: Debian Security Advisory DSA-2862 http://www.debian.org/security/2014/dsa-2862

CVE-2013-6650: Schwachstelle in StoreBuffer::ExemptPopularPages in Google V8
bevor 3.22.24.16

Eine Schwachstelle in der StoreBuffer::ExemptPopularPages-Funktion in
store-buffer.cc in Google V8 vor Version 3.22.24.16 erlaubt einem entfernten
Angreifer durch eine Speicherkorruption gezielt einen
Denial-of-Service-Zustand herbeizuführen und möglicherweise weiteren
Einfluss durch die inkorrekte Behandlung von “Popular Pages” zu erlangen.
Google V8 Version vor 3.22.24.16 wird in Google Chrome vor 32.0.1700.102
verwendet

CVE-2013-6649: Schwachstelle in RenderSVGImage::Paint in Blink

Eine Use-after-free-Schwachstelle in der RenderSVGImage::paint-Funktion in
core/rendering/svg/RenderSVGImage.cpp in Blink, erlaubt einem entfernten
Angreifer einen Denial-of-Service-Angriff durchzuführen und möglicherweise
nicht näher spezifizierten Einfluss über Angriffsvektoren, welche SVG-Bilder
der Größe null nutzen, zu erlangen.

CVE-2013-6644: Schwachstelle im Google Chrome Browser

Im Google Chrome Browser sind mehrere Schwachstellen behoben worden, die
beispielsweise bei internen Audits und Tests gefunden worden sind. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
ausnutzen, um beliebigen Code mit den Rechten des Anwenders auszuführen.

CVE-2013-6645: Use-after-free Schwachstelle im Google Chrome Browser

Im Google Chrome Browser ist eine Schwachstelle vorhanden, die die
Verwendung bereits frei gegebener Speicherbereiche betrifft. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Code mit den Rechten des Anwenders auszuführen.

CVE-2013-6646: Use-after-free Schwachstelle im Google Chrome Browser

CVE-2013-6643: Schwachstelle im Google Chrome Browser

Der Google Chrome Browser ermöglicht die nicht-autorisierte und unbemerkte
Synchronisation des Browsers mit einem Google Account eines Angreifers. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um an vertrauliche Daten des Benutzers zu gelangen.

CVE-2013-6641: Use-after-free Schwachstelle im Google Chrome Browser

Im Google Chrome Browser ist eine Schwachstelle vorhanden, die die
Verwendung bereits frei gegebener Speicherbereiche betrifft (Use-after-free
related to forms). Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, um beliebigen Code mit den Rechten des
Anwenders auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0202/

Schwachstelle CVE-2013-6646 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6646

Schwachstelle CVE-2013-6641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6641

Schwachstelle CVE-2013-6643 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6643

Schwachstelle CVE-2013-6645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6645

Schwachstelle CVE-2013-6644 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6644

Schwachstelle CVE-2013-6649 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6649

Schwachstelle CVE-2013-6650 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6650

Debian Security Advisory DSA-2862:
http://www.debian.org/security/2014/dsa-2862