DFN-CERT-2016-0306 Chrome OS: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Linux]

DFN-CERT-2016-0306 Chrome OS: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Chrome OS < 48.0.2564.116 Betroffene Plattformen: Chrome OS Google veröffentlicht die stabile Chrome OS Version 48.0.2564.116 mit der eine Reihe von Schwachstellen mit unbekannten Auswirkungen behoben werden. Lediglich die Schwachstelle CVE-2016-0728 wird explizit benannt, die einem lokalen, nicht authentifizierten Angreifer das Erlangen von Administratorrechten ermöglicht. Diese Schwachstelle wurde auch bereits mit der stabilen Chrome OS Version 48.0.2564.92 adressiert (siehe Chrome OS Stable Channel Update Chrome-ADV-Tuesday, 26. Januar 2016), vermutlich aber nicht vollständig behoben. Patch: Chrome OS Stable Channel Update Chrome-ADV-Thursday, 18. Februar 2016 http://googlechromereleases.blogspot.de/2016/02/stable-channel-update-for-chrome-os_18.html

CVE-2016-0728: Schwachstelle im Linux-Kernel ermöglicht Erlangen von
Administratorrechten

Es existiert eine Use-after-free-Schwachstelle in der Schlüsselbund
(keyring)-Komponente im Linux-Kernel aufgrund eines fehlerhaften Umgangs mit
Referenzen auf Schlüsselbunde. Mittels eines Integer-Überlaufs des
Referenzzählers ist es möglich, den Kernel dazu zu veranlassen, ein
Schlüsselbund-Objekt freizugeben, obwohl die Referenz noch verwendet wird.
Anschließend kann das Schlüsselbund-Objekt durch ein eigenes Objekt ersetzt
werden. Ein Angreifer der diese Schwachstelle ausnutzt, kann auf einem
betroffenen System seine Privilegien bis hin zu Administratorrechten
ausweiten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0306/

Schwachstelle CVE-2016-0728 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0728

Chrome OS Stable Channel Update Chrome-ADV-Thursday, 18. Februar 2016:
http://googlechromereleases.blogspot.de/2016/02/stable-channel-update-for-chrome-os_18.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben