DFN-CERT-2015-0726 Google Chrome: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebiger Befehle [Linux][Windows]

DFN-CERT-2015-0726 Google Chrome: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebiger Befehle [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome < 43.0.2357.65 V8 < 4.3.61.21 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Mehrere Schwachstellen in Google Chrome vor Version 43.0.2357.65 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Darstellen falscher Informationen, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Durchführung von Denial-of-Service-Angriffen und das Ausführen beliebiger Befehle. Patch: Stable Channel Update, 19. Mai 2015 http://googlechromereleases.blogspot.de/2015/05/stable-channel-update_19.html

CVE-2015-3910: Mehrere Schwachstellen in Google V8 ermöglichen
Denial-of-Service-Angriff

Mehrere nicht näher spezifizierte Schwachstellen in Google V8 vor Version
4.3.61.21, wie es z.B. in Google Chrome vor Version 43.0.2357.65 genutzt
wird, ermöglichen das Bewirken eines Programmabsturzes. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen oder möglicherweise andere nicht weiter spezifizierte Angriffe
durchführen.

CVE-2015-1265: Mehrere Denial-of-Service-Schwachstellen in Google Chrome

Google Chrome vor Version 43.0.2357.65 enthält mehrere nicht näher
spezifizierte Schwachstellen. Diese ermöglichen einem entfernten, nicht
authentifizierten Angreifer die Durchführung von Denial-of-Service-Angriffen
und eventuell noch weiteren Einfluss auf das System zu nehmen.

CVE-2015-1264: Cross-Site-Scripting-Schwachstelle in Chrome

Eine nicht näher spezifizierte Schwachstelle in den Bookmarks von Chrome
ermöglicht einem entfernten, nicht authentifizierten Angreifer
Cross-Site-Scripting-Angriffe durchzuführen.

CVE-2015-1263: Schwachstelle in Google Chrome ermöglicht Manipulation von
Dateien

Eine nicht näher beschriebene Schwachstelle in Google Chrome ermöglicht das
unsichere Herunterladen von Wörterbüchern für die Rechtschreibprüfung. Ein
entfernter, nicht authentifizierter Angreifer kann Dateien manipulieren.

CVE-2015-1262: Schwachstelle in Blink ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in Blink führt durch nicht näher spezifizierte Aktionen
dazu, dass ein nicht initialisierter Wert verwendet wird. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen oder möglicherweise Informationen ausspähen.

CVE-2015-1261: Schwachstelle in Google Chrome ermöglicht Darstellen von
falschen Informationen

Eine nicht näher spezifizierte Schwachstelle in Google Chrome ermöglicht
durch nicht beschriebene Aktionen die URL-Anzeigeleiste zu manipulieren.
Dadurch ist es möglich dem Benutzer eine falsche URL vorzutäuschen. Ein
entfernter, nicht authentifizierter Angreifer kann falsche Informationen
darstellen.

CVE-2015-1260: Schwachstelle in WebRTC ermöglicht Ausführen beliebigen
Programmcodes

Eine nicht näher spezifizierte Schwachstelle in WebRTC führt dazu, dass
Speicherobjekte verwendet werden, nachdem diese bereits freigegeben wurden
(use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann
einen Denial-of-Service-Angriff durchführen oder beliebigen Programmcode
ausführen.

CVE-2015-1259: Schwachstelle in PDFium ermöglicht Denial-of-Service-Angriff

Eine nicht näher spezifizierte Schwachstelle in PDFium führt zu der
Verwendung eines nicht initialisierten Wertes. Ein entfernter, nicht
authentifizierter Angreifer kann eine Denial-of-Service-Angriff durchführen
oder möglicherweise Informationen ausspähen.

CVE-2015-1258: Schwachstelle in Libvpx ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in Libvpx führt durch nicht näher spezifizierte Aktionen
zu einem Parameter mit einer negativen Größe. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2015-1257: Schwachstelle in SVG ermöglicht Ausführen beliebigen
Programmcodes

Eine Schwachstelle in SVG führt dazu, dass es durch nicht spezifizierte
Aktionen zu einem Container-Überlauf kommt. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff durchführen
oder beliebigen Programmcode ausführen.

CVE-2015-1256: Schwachstelle in SVG ermöglicht Ausführen beliebigen
Programmcodes

Eine Schwachstelle in SVG führt dazu, dass durch nicht näher spezifizierte
Aktionen Speicherobjekte benutzt werden, nachdem diese bereits freigegeben
(use-after-free) wurden. Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen oder beliebigen
Programmcode ausführen.

CVE-2015-1255: Schwachstelle in WebAudio ermöglicht Ausführen beliebigen
Programmcodes

Eine Schwachstelle in WebAudio führt dazu, dass durch nicht näher
spezifizierte Aktionen Speicherobjekte benutzt werden, nachdem diese bereits
freigegeben (use-after-free) wurden. Ein entfernter, nicht authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen oder beliebigen
Programmcode ausführen.

CVE-2015-1254: Schwachstelle in Editing ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine nicht näher spezifizierte Schwachstelle in Editing, wie es in Chrome
vor Version 43.0.2357.65 verwendet wird, ermöglicht, durch nicht näher
beschriebene Aktionen, das Umgehen der gleichen Quelle-Richtlinie. Ein
entfernter, nicht authentifizierter Angreifer kann Sicherheitsmaßnahmen
umgehen.

CVE-2015-1253: Schwachstelle in DOM ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine nicht näher beschriebene Schwachstelle im Dokument-Object-Modell (DOM)
von Chrome ermöglicht das Umgehen der gleichen Quelle-Richtline. Ein
entfernter, nicht authentifizierter Angreifer kann Sicherheitsmaßnahmen
umgehen.

CVE-2015-1252: Schwachstelle in Chrome ermöglicht Ausführen beliebigen
Programmcodes

Eine nicht näher spezifizierte Schwachstelle in Chrome ermöglicht einem
entfernten, nicht authentifizierten Angreifer durch nicht genannte Aktionen
aus der Sandbox auszubrechen und beliebigen Programmcode auszuführen.

CVE-2015-1251: Schwachstelle in Speech ermöglicht Ausführen beliebigen
Programmcodes

Eine Schwachstelle in Speech führt, durch nicht näher beschriebene Aktionen,
zu der Benutzung von Objekten im Speicher, nachdem diese freigegeben
(use-after-free) wurden. Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen oder beliebigen
Programmcode ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0726/

Stable Channel Update, 19. Mai 2015:
http://googlechromereleases.blogspot.de/2015/05/stable-channel-update_19.html

Schwachstelle CVE-2015-1251 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1251

Schwachstelle CVE-2015-1252 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1252

Schwachstelle CVE-2015-1253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1253

Schwachstelle CVE-2015-1254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1254

Schwachstelle CVE-2015-1255 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1255

Schwachstelle CVE-2015-1256 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1256

Schwachstelle CVE-2015-1257 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1257

Schwachstelle CVE-2015-1258 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1258

Schwachstelle CVE-2015-1259 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1259

Schwachstelle CVE-2015-1260 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1260

Schwachstelle CVE-2015-1261 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1261

Schwachstelle CVE-2015-1262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1262

Schwachstelle CVE-2015-1263 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1263

Schwachstelle CVE-2015-1264 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1264

Schwachstelle CVE-2015-1265 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1265

Schwachstelle CVE-2015-3910 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3910

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben