Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Chromium < 51.0.2704.103 Betroffene Plattformen: openSUSE 13.1 Mehrere Schwachstellen im Chromium Browser ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, die Darstellung falscher Informationen, das Umgehen von Sicherheitsvorkehrungen, einen Denial-of-Service-Angriff (DoS) und weitere, nicht spezifizierte Angriffe. Für openSUSE 13.1 steht ein Sicherheitsupdate für Chromium auf Version 51.0.2704.103 bereit, mit dem auch die bekannten Schwachstellen aus den Versionen 50.0.2661.102 und 50.0.2661.94 behoben werden. Patch: openSUSE Security Update openSUSE-SU-2016:1655-1 http://lists.opensuse.org/opensuse-updates/2016-06/msg00086.html
CVE-2016-1704: Mehrere Schwachstellen in Google Chrome ermöglichen
Denial-of-Service-Angriff
In Google Chrome und Chromium vor Version 51.0.2704.103 für Windows, Mac OS
X und Linux wurden bei internen Audits, ‘Fuzzing’ und anderen Initiativen
mehrere nicht näher beschriebene Schwachstellen gefunden.
CVE-2016-1670: Schwachstelle in Google Chrome ermöglicht nicht spezifizierte
Angriffe
In Google Chrome und Chromium vor Version 50.0.2661.102 existiert eine nicht
näher spezifizierte Schwachstelle, aufgrund einer Wettlaufsituation (Race
Condition) in der Komponente Loader. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle für nicht spezifizierte Angriffe
ausnutzen.
CVE-2016-1669: Schwachstelle in V8 ermöglicht Ausführen beliebigen
Programmcodes
Google Chrome und Chromium vor Version 50.0.2661.102 enthalten eine nicht
näher spezifizierte Schwachstelle in der Komponente V8, durch die der
Pufferspeicher zum Überlauf gebracht werden kann (Buffer overflow). Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle für
einen Denial-of-Service (DoS)-Angriff oder möglicherweise sogar zum
Ausführen beliebigen Programmcodes ausnutzen.
CVE-2016-1668: Schwachstelle in Blink V8 Bindings ermöglicht Umgehen von
Sicherheitsvorkehrungen
In Google Chrome und Chromium vor Version 50.0.2661.102 existiert eine nicht
näher spezifizierte Schwachstelle in den V8 Bindings der Komponente Blink,
durch die die Same-Origin-Policy umgangen werden kann. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Sicherheitsvorkehrungen zu umgehen.
CVE-2016-1667: Schwachstelle in Google Chrome ermöglicht Umgehen von
Sicherheitsvorkehrungen
In Google Chrome und Chromium vor Version 50.0.2661.102 existiert eine nicht
näher spezifizierte Schwachstelle in DOM, durch die die Same-Origin-Policy
umgangen werden kann. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
CVE-2016-1666: Schwachstellen in Google Chrome ermöglichen nicht
spezifizierte Angriffe
In Google Chrome und Chromium vor Version 50.0.2661.94 existieren mehrere
nicht näher beschriebene Schwachstellen. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstellen über unbekannte Vektoren
ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu
beeinträchtigen.
CVE-2016-1665: Schwachstelle in V8 ermöglicht Ausspähen von Informationen
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Schwachstelle in der Komponente V8, die es ermöglicht,
sensitive Informationen offenzulegen. Ein entfernter, nicht
authentifizierter Angreifer kann Informationen ausspähen.
CVE-2016-1664: Schwachstelle in Google Chrome erlaubt Darstellen falscher
Informationen
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Adress-Bar-Spoofing-Schwachstelle. Ein entfernter, nicht
authentifizierter Angreifer ist dadurch in der Lage, z.B. für eine schädlich
präparierte Webseite im Adressfeld (Address bar) einen falschen Domain-Namen
anzeigen zu lassen (Spoofing), wodurch weitere nicht spezifizierte Angriffe
möglich werden.
CVE-2016-1663: Schwachstelle in Blink V8 Bindings ermöglicht Ausführen
beliebigen Programmcodes
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher beschriebene Schwachstelle in den V8 Bindings der Komponente Blink,
durch die Speicherbereiche nach deren Freigabe verwendet werden können
(Use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann
durch das Ausnutzen der Schwachstelle einen Denial-of-Service (DoS)-Zustand
herbeiführen oder möglicherweise sogar beliebigen Programmcode zur
Ausführung bringen.
CVE-2016-1662: Schwachstelle in Google Chrome ermöglicht Ausführen
beliebigen Programmcodes
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Schwachstelle in Verbindung mit Erweiterungen des
Browsers, durch die Speicherbereiche nach deren Freigabe verwendet werden
können (Use-after-free). Ein entfernter, nicht authentifizierter Angreifer
kann durch das Ausnutzen der Schwachstelle einen Denial-of-Service
(DoS)-Zustand herbeiführen oder möglicherweise sogar beliebigen Programmcode
zur Ausführung bringen.
CVE-2016-1661: Schwachstelle in Google Chrome ermöglicht Ausführen
beliebigen Programmcodes
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Schwachstelle in ‘cross-process frames’, durch die es zu
einer Speicherkorruption kommen kann (Memory corruption). Ein entfernter,
nicht authentifizierter Angreifer kann durch das Ausnutzen der Schwachstelle
einen Denial-of-Service (DoS)-Zustand herbeiführen oder möglicherweise sogar
beliebigen Programmcode zur Ausführung bringen.
CVE-2016-1660: Schwachstelle in Blink ermöglicht Ausführen beliebigen
Programmcodes
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Schwachstelle in der Komponente Blink, durch die
Schreibzugriffe außerhalb von Speichergrenzen möglich sind (Out-of-bounds
write). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle für einen Denial-of-Service (DoS)-Angriff oder möglicherweise
sogar zum Ausführen beliebigen Programmcodes ausnutzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1017/
Schwachstelle CVE-2016-1660 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1660
Schwachstelle CVE-2016-1661 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1661
Schwachstelle CVE-2016-1662 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1662
Schwachstelle CVE-2016-1663 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1663
Schwachstelle CVE-2016-1664 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1664
Schwachstelle CVE-2016-1665 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1665
Schwachstelle CVE-2016-1666 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1666
Schwachstelle CVE-2016-1667 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1667
Schwachstelle CVE-2016-1668 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1668
Schwachstelle CVE-2016-1669 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1669
Schwachstelle CVE-2016-1670 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1670
Schwachstelle CVE-2016-1704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1704
openSUSE Security Update openSUSE-SU-2016:1655-1:
http://lists.opensuse.org/opensuse-updates/2016-06/msg00086.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
