Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome < 41.0.2272.118 oxide-qt Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 GNU/Linux Microsoft Windows Red Hat Enterprise Linux Desktop Supplementary 6 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.6.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in Google Chrome bzw. Chromium vor Version 41.0.2272.118 ermöglichen einem entfernten, nicht authentifizierten Angreifer, beliebigen Programmcode auszuführen oder einen Denial-of-Service-Zustand herbeizuführen. Für Ubuntus oxide-qt wird außerdem die Schwachstelle CVE-2015-1317 behoben, die es einem entfernten, nicht authentifizierten Angreifer ermöglicht, beliebigen Programmcode zur Ausführung zu bringen oder einen Denial-of-Service-Angriff durchzuführen. Patch: Chrome-ADV-Wednesday, April 1, 2015 http://googlechromereleases.blogspot.de/2015/04/stable-channel-update.html

Patch:

Red Hat Security Advisory RHSA-2015:0778

http://rhn.redhat.com/errata/RHSA-2015-0778.html

Patch:

Ubuntu Security Notice USN-2556-1

http://www.ubuntu.com/usn/usn-2556-1/

CVE-2015-1317: Schwachstelle in oxide-qt ermöglicht das Ausführen beliebigen
Programmcodes

In oxide-qt wird die Lebenszeit des BrowserContext nicht korrekt verwaltet,
so dass es unter bestimmten Umständen zu einer Wiederverwendung eines
bereits freigegebenen Speicherbereichs (Use-After-Free) kommen kann. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
mittels einer speziell präparierten Webseite ausnutzen, um den Absturz der
Anwendung (Denial-of-Service) zu erreichen oder beliebigen Programmcode mit
den Rechten des Benutzers zur Ausführung zu bringen.

CVE-2015-1234: Schwachstelle in Google Chrome ermöglicht
Denial-of-Service-Angriff

Es wurde eine nicht näher beschriebene Schwachstelle in
gpu/command_buffer/service/gles2_cmd_decoder.cc in Google Chrome vor Version
41.0.2272.118 gefunden, die auf einer Wettlaufsituation (Race Condition)
basiert. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um mittels eines Speicherüberlaufs einen
Denial-of-Service-Zustand herbeizuführen oder möglicherweise weitere
Angriffe durch die Manipulation von OpenGL ES Befehlen durchzuführen.

CVE-2015-1233: Schwachstelle in Google Chome ermöglicht das Ausführen
beliebigen Programmcodes

Eine nicht näher spezifizierte Schwachstelle besteht in Folge der nicht
korrekten Handhabung der Interaktion von IPC, Gamepad API und Google V8
durch Google Chrome. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle über unbekannte Vektoren ausnutzen, um beliebigen
Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0463/

Chrome-ADV-Wednesday, April 1, 2015:
http://googlechromereleases.blogspot.de/2015/04/stable-channel-update.html

Red Hat Security Advisory RHSA-2015:0778:
http://rhn.redhat.com/errata/RHSA-2015-0778.html

Ubuntu Security Notice USN-2556-1:
http://www.ubuntu.com/usn/usn-2556-1/

Schwachstelle CVE-2015-1233 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1233

Schwachstelle CVE-2015-1234 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1234

Schwachstelle CVE-2015-1317 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1317

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.