DFN-CERT-2015-1588 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a das Ausführen beliebigen Programmcodes [Linux][Apple][Windows]

DFN-CERT-2015-1588 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a das Ausführen beliebigen Programmcodes [Linux][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

The Chromium Project Chromium < 46.0.2490.71 Google Chrome < 46.0.2490.71 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Mehrere Schwachstellen in Google Chrome vor Version 46.0.2490.71 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Durchführung eines Denial-of-Service-Angriffs, das Ausführen beliebigen Programmcodes und mehrere nicht spezifizierte Angriffe. Patch: Chrome Stable Channel Update, 13. Oktober 2015 http://googlechromereleases.blogspot.de/2015/10/stable-channel-update.html

CVE-2015-6763: Mehrere Schwachstellen in Google Chrome

Mehrere nicht beschriebene Schwachstellen in Google Chrome vor Version
46.0.2490.71 ermöglichen einem entfernten, möglicherweise nicht
authentifizierten Angreifer das Durchführen nicht spezifizierter Angriffe.

CVE-2015-6762: Schwachstelle in Chrome ermöglicht Umgehen von
Sicherheitsvorkehrungen

Es existiert eine nicht näher genannte Schwachstelle in Google Chrome vor
Version 46.0.2490.71, die durch einen Fehler in der Implementierung der
Cross Origin Ressource Sharing (CORS) Unterstützung hervorgerufen wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Informationen auszuspähen und die Integrität des System zu
beeinträchtigen.

CVE-2015-6761: Schwachstelle in FFMpeg ermöglicht Ausführen beliebigen
Programmcodes

Es existiert eine nicht näher genannte Schwachstelle in FFMpeg in Google
Chrome vor Version 46.0.2490.71, die durch eine Speicherkorruption
hervorgerufen wird. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, um mit Hilfe einer bösartig gestalteten Datei
beliebigen Programmcode auszuführen.

CVE-2015-6760: Schwachstelle in libANGLE

Es existiert eine nicht näher beschriebene Schwachstelle in libANGLE in
Google Chrome vor Version 46.0.2490.71, die durch eine unzureichende
Fehlerbehandlung hervorgerufen wird. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen und einen nicht spezifizierten
Angriff durchführen.

CVE-2015-6759: Schwachstelle in LocalStorage ermöglicht Ausspähen von
Informationen

Es existiert eine nicht näher beschriebene Schwachstelle in LocalStorage in
Google Chrome vor Version 46.0.2490.71, die ein Informationsleck bewirkt.
Ein entfernter, nicht authentifizierter Angreifer kann Informationen
ausspähen.

CVE-2015-6758: Schwachstelle in PDFium

Es existiert eine nicht näher beschriebene Schwachstelle in PDFium in Google
Chrome vor Version 46.0.2490.71, die durch eine fehlerhafte Umformung
hervorgerufen wird. Eine Auswirkung dieser Schwachstelle ist nicht
beschrieben. Ein entfernter, womöglich nicht authentifizierter Angreifer
kann einen nicht spezifizierten Angriff durchführen.

CVE-2015-6757: Use-after-free-Schwachstelle in ServiceWorker ermöglicht
Ausführen beliebigen Programmcodes

Es existiert eine nicht näher beschriebene Use-after-free-Schwachstelle in
ServiceWorker in Google Chrome vor Version 46.0.2490.71, die durch eine
fehlerhafte Speicherbehandlung hervorgerufen wird. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode ausführen.

CVE-2015-6756: Use-after-free-Schwachstelle in PDFium ermöglicht Ausführen
beliebigen Programmcodes

Es existiert eine nicht näher beschriebene Use-after-free-Schwachstelle in
PDFium in Google Chrome vor Version 46.0.2490.71, die durch eine fehlerhafte
Speicherbehandlung hervorgerufen wird. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode ausführen.

CVE-2015-6755: Cross-Origin-Bypass-Schwachstelle in Blink ermöglicht Umgehen
von Sicherheitsvorkehrungen

In Blink in Google Chrome vor Version 46.0.2490.71 besteht eine nicht
detailliert beschriebene Cross-Origin-Bypass-Schwachstelle. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Informationen auszuspähen und die Integrität des System zu beeinträchtigen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1588/

Chrome Stable Channel Update, 13. Oktober 2015:
http://googlechromereleases.blogspot.de/2015/10/stable-channel-update.html

Schwachstelle CVE-2015-6755 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6755

Schwachstelle CVE-2015-6756 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6756

Schwachstelle CVE-2015-6757 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6757

Schwachstelle CVE-2015-6758 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6758

Schwachstelle CVE-2015-6759 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6759

Schwachstelle CVE-2015-6760 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6760

Schwachstelle CVE-2015-6761 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6761

Schwachstelle CVE-2015-6762 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6762

Schwachstelle CVE-2015-6763 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6763

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben