DFN-CERT-2014-1273 Google Chrome: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian]

DFN-CERT-2014-1273 Google Chrome: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome < 37.0.2062.120 Betroffene Plattformen: Debian Linux 7.6 Wheezy Debian Linux 8.0 Jessie Durch mehrere Schwachstellen im Google Chrome Browser kann ein entfernter, nicht authentifizierter Angreifer beliebigen Programmcode außerhalb der Sandbox ausführen, Denial-of-Service-Angriffe durchführen, Sicherheitsvorkehrungen umgehen sowie weitere nicht spezifizierte Angriffe durchführen. Debian stellt aktualisierte "chromium-browser"-Pakete zur Verfügung, welche die gelisteten Schwachstellen beheben. Patch: Debian Security Advisory DSA-3039-1 https://www.debian.org/security/2014/dsa-3039

CVE-2014-3179: Diverse unspezifizierte Schwachstellen in Google Chrome

Mehrere nicht näher spezifizierte Schwachstellen mit unspezifizierten
Auswirkungen wurden in Google Chrome gefunden.

CVE-2014-3178: Speicherverwaltungsschwachstelle in Google Chrome

Im Rendering von Google Chrome existiert eine Use-after-free-Schwachstelle.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode auszuführen.

CVE-2014-3177: Schwachstelle in Google Chrome V8, IPC, sync und Extensions

Eine nicht näher spezifizierte Schwachstelle in den Programmteilen V8, IPC,
sync und Extensions kann von einem entfernten, nicht authentifizierten
Angreifer ausgenutzt werden, um beliebigen Programmcode auch ausserhalb der
Sandbox auszuführen.

CVE-2014-3176: Schwachstelle in Google Chrome V8, IPC, sync und Extensions

Eine nicht näher spezifizierte Schwachstelle in den Programmteilen V8, IPC,
sync und Extensions kann von einem entfernten, nicht authentifizierten
Angreifer ausgenutzt werden, um beliebigen Programmcode auch ausserhalb der
Sandbox auszuführen.

CVE-2014-3175: Schwachstelle ermöglicht die Ausführung beliebigen Codes mit
den Rechten des Benutzers

Es wurden Schwachstellen in Chrome gefunden. Ein entfernter, nicht
authentisierter Angreifer kann unter Verwendung einer präparierten Webseite,
die Schwachstelle dazu ausnutzen, einen Denial-of-Service-Zustand
hervorzurufen und beliebigen Code zur Ausführung zu bringen.

CVE-2014-3174: Schwachstelle in Speicherverwaltung von Web Audio

In Web Audio von Google Chrome wird nicht initialisierter Speicher
ausgelesen und verarbeitet. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand hervorzurufen oder Informationen auszuspähen.

CVE-2014-3173: Schwachstelle in Speicherverwaltung von WebGL

In WebGL von Google Chrome wird nicht initialisierter Speicher ausgelesen
und verarbeitet. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, um Informationen auszuspähen oder einen
Denial-of-Service-Zustand hervorzurufen.

CVE-2014-3172: Schwachstelle in der Fehlersuche von Extensions

In Google Chrome wurden nicht näher spezifizierte Probleme im Bereich der
Fehlersuche in Extensions gefunden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle für nicht näher spezifizierte Angriffe
ausnutzen.

CVE-2014-3171: Schwachstelle in Speicherverwaltung in Bindings

In den Bindings von Google Chrome wird bereits freigegebener Speicher erneut
verwendet. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle zur Ausführung beliebigen Programmcodes mit den Rechten des
Dienstes oder für einen Denial-of-Service-Angriff ausnutzen.

CVE-2014-3170: Schwachstelle in der Extension-Verwaltung

In der Verwaltung von Extensions in Google Chrome ist es möglich, den Dialog
für die Berechtigungen von Extensions zu verfälschen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle für nicht näher
spezifizierte Angriffe ausnutzen.

CVE-2014-3169: Schwachstelle in Speicherverwaltung bei Verarbeitung von
DOM-Daten

In der DOM-Verarbeitung von Google Chrome wird bereits freigegebener
Speicher erneut verwendet. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle zur Ausführung beliebigen Programmcodes mit den
Rechten des Dienstes oder für einen Denial-of-Service-Angriff ausnutzen.

CVE-2014-3168: Schwachstelle in Speicherverwaltung bei Verarbeitung von
SVG-Dateien

In der SVG-Dateiverarbeitung von Google Chrome wird bereits freigegebener
Speicher erneut verwendet. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle zur Ausführung beliebigen Programmcodes mit den
Rechten des Dienstes oder für einen Denial-of-Service-Angriff ausnutzen.

CVE-2014-3167: Schwachstelle in Google Chrome ermöglicht Denial-of-Service

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Google
Chrome vor der Version 36.0.1985.143. Ein entfernter, nicht
authentifizierter Angreifer kann Denial-of-Service-Angriffe durchführen oder
andere nicht näher spezifizierte Angriffe.

CVE-2014-3166: Schwachstelle in Google Chrome ermöglicht das Ausspähen von
Informationen

Es existiert eine Schwachstelle in der Public Key Pinning (PKP)
Implementation von Google Chrome vor der Version 36.0.1985.143 für Windows,
OS X und Linux und vor der Version 36.0.1985.135 für Android. Die
Eigenschaften der SPDY-Verbindungen werden nicht korrekt berücksichtigt. Ein
entfernter, nicht authentifizierter Angreifer kann, durch die Verwendung
mehrerer Domain-Namen, Informationen ausspähen.

CVE-2014-3165: Use-after-free-Schwachstelle in Google Chrome

Es existiert eine Use-after-free-Schwachstelle in
“modules/websockets/WorkerThreadableWebSocketChannel.cpp” in der Web-Socket
Implementation in Blink, welches von Google Chrome genutzt wird. Ein
entfernter, nicht authentifizierter Angreifer kann
Denial-of-Service-Angriffe durchführen oder möglicherweise andere nicht
näher spezifizierte Angriffe, die durch eine unerwartete Lebensdauer eines
temporären Objekts bei der Beendigung einer Methode ausgelöst werden können.

CVE-2014-3162: Diverse nicht spezifizierte Schwachstellen in Google Chrome

Verschiedene, nicht näher beschriebene Schwachstellen wurden durch interne
Audits, “Fuzzing” und andere Initiativen gefunden, die meisten davon unter
Verwendung von “AddressSanitizer”. Über die Auswirkungen dieser
Schwachstellen ist ebenfalls nichts bekannt.

CVE-2014-3160: Schwachstelle in Scalable Vector Graphics (SVG)

Eine Schwachstelle in Scalable Vector Graphics (SVG) in Google Chrome
erlaubt die “Same-Origin-Policy” zu umgehen. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, zum Beispiel
indem er einen Benutzer dazu bringt, sich mit dem Chrome Browser eine
speziell präparierte oder manipulierte Webseite anzeigen zu lassen, um
potentiell schädliche SVG-Bilddateien von einer anderen Webseite nachladen
zu lassen, wodurch weitere, nicht spezifizierte Angriffe möglich werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1273/

Schwachstelle CVE-2014-3160 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3160

Schwachstelle CVE-2014-3162 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3162

Schwachstelle CVE-2014-3165 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3165

Schwachstelle CVE-2014-3166 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3166

Schwachstelle CVE-2014-3167 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3167

Schwachstelle CVE-2014-3168 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3168

Schwachstelle CVE-2014-3169 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3169

Schwachstelle CVE-2014-3170 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3170

Schwachstelle CVE-2014-3171 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3171

Schwachstelle CVE-2014-3172 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3172

Schwachstelle CVE-2014-3173 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3173

Schwachstelle CVE-2014-3174 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3174

Schwachstelle CVE-2014-3175 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3175

Schwachstelle CVE-2014-3176 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3176

Schwachstelle CVE-2014-3177 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3177

Schwachstelle CVE-2014-3178 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3178

Schwachstelle CVE-2014-3179 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3179

Debian Security Advisory DSA-3039-1:
https://www.debian.org/security/2014/dsa-3039

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben