DFN-CERT-2017-1878 WebKitGTK+: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux]

DFN-CERT-2017-1878 WebKitGTK+: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WebKitGTK

Betroffene Plattformen:

Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04

Mehrere Schwachstellen in WebKitGTK+ ermöglichen einem entfernten, nicht
authentisierten Angreifer die Ausführung beliebigen Programmcodes, das
Ausspähen von Informationen und Cross-Site-Scripting (XSS)-Angriffe mit
Hilfe speziell präparierter Webinhalte.

Canonical stellt für Ubuntu 16.04 LTS und Ubuntu 17.04 Sicherheitsupdates
für WebKitGTK+ auf die fehlerbereinigte Version 2.18.0 bereit. Die aktuelle
Version der Software ist 2.18.1.

Patch:

Ubuntu Security Notice USN-3460-1

http://www.ubuntu.com/usn/usn-3460-1/

CVE-2017-7111 CVE-2017-7117 CVE-2017-7120 CVE-2017-7087 CVE-2017-7091:
Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

Webkit enthält mehrere Schwachstellen, die auf Speicherfehlern (Memory
Corruptions) bei der Verarbeitung bösartiger Webinhalte beruhen. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstellen
ausnutzen und beliebigen Programmcode zur Ausführung bringen.

CVE-2017-7092 CVE-2017-7093 CVE-2017-7095 CVE-2017-7096 CVE-2017-7098
CVE-2017-7100 CVE-2017-7102 CVE-2017-7104 CVE-2017-7107: Schwachstellen in
WebKit ermöglichen Ausführung beliebigen Programmcodes

Webkit enthält mehrere Schwachstellen, die auf Speicherfehlern (Memory
Corruptions) bei der Verarbeitung bösartiger Webinhalte beruhen. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstellen
ausnutzen und beliebigen Programmcode zur Ausführung bringen.

CVE-2017-7109: Schwachstelle in WebKit ermöglicht
Cross-Site-Scripting-Angriff

Die Verarbeitung von bösartig präparierten Webinhalten durch WebKit kann zu
einer falschen Anwendung der ‘Application Cache Policy’ führen. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen
und einen Cross-Site-Scripting-Angriff durchführen.

CVE-2017-7090: Schwachstelle in WebKit ermöglicht das Ausspähen von
Informationen

WebKit enthält eine Schwachstelle, durch die Cookies fehlerhaft verarbeitet
und diese an falsche Ursprungsadressen gesendet werden. Ein entfernter,
nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um
Informationen auszuspähen.

CVE-2017-7089: Schwachstelle in WebKit ermöglicht
Cross-Site-Scripting-Angriff

Bei der Verarbeitung speziell präparierter Webinhalte in WebKit kann es
durch ein fehlerhaftes Zustandsmanagement, während des Umgangs mit
übergeordneten Tabs, zu einem Logikfehler kommen. Ein entfernter, nicht
authentisierter Angreifer kann einen Universal-Cross-Site-Scripting
(UXSS)-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1878/

Schwachstelle CVE-2017-7089 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7089

Schwachstelle CVE-2017-7087 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7087

Schwachstelle CVE-2017-7090 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7090

Schwachstelle CVE-2017-7091 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7091

Schwachstelle CVE-2017-7092 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7092

Schwachstelle CVE-2017-7093 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7093

Schwachstelle CVE-2017-7095 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7095

Schwachstelle CVE-2017-7096 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7096

Schwachstelle CVE-2017-7098 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7098

Schwachstelle CVE-2017-7100 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7100

Schwachstelle CVE-2017-7102 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7102

Schwachstelle CVE-2017-7104 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7104

Schwachstelle CVE-2017-7107 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7107

Schwachstelle CVE-2017-7109 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7109

Schwachstelle CVE-2017-7111 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7111

Schwachstelle CVE-2017-7117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7117

Schwachstelle CVE-2017-7120 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7120

Ubuntu Security Notice USN-3460-1:
http://www.ubuntu.com/usn/usn-3460-1/

WebKitGTK+ Security Advisory WSA-2017-0008:
https://webkitgtk.org/security/WSA-2017-0008.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben