UPDATE: DFN-CERT-2013-2047 Google Chrome: Mehrere Schwachstellen ermöglichen verschiedene Angriffe [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2013-2047 Google Chrome: Mehrere Schwachstellen ermöglichen verschiedene Angriffe [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.12.2013):
Update: openSUSE 12.2 und 12.3 stellen ebenfalls entsprechende Updates
bereit!
Version 1 (12.12.2013):
Neues Advisory

Betroffene Software:

Google Chrome <= 31.0.1650.62 Betroffene Plattformen: Debian Linux 7.2 Wheezy openSUSE 12.2 openSUSE 12.3 Mehrere Schwachstellen in Google Chrome ermöglichen eine Reihe von Angriffen, darunter Denial-of-Service-Angriffe, Vorspiegelung falscher Adressen (URLs) und Sitzungsübernahme. Patch: Debian Security Advisory DSA-2811 http://www.debian.org/security/2013/dsa-2811

Patch:

openSUSE-SU-2013:1927-1

http://lists.opensuse.org/opensuse-updates/2013-12/msg00090.html

Patch:

openSUSE-SU-2013:1933-1

http://lists.opensuse.org/opensuse-updates/2013-12/msg00096.html

CVE-2013-6640: Denial-of-Service-Schwachstelle in Google Chrome

In der Funktion DehoistArrayIndex in hyrogen-dehoist.cc existiert eine
Schwachstelle, die durch das Lesen über Puffergrenzen hervorgerufen wird.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service zu verursachen.

CVE-2013-6639: Denial-of-Service-Schwachstelle in Google Chrome

In der Funktion DehoistArrayIndex in hyrogen-dehoist.cc existiert eine
Schwachstelle, die durch das Schreiben über Puffergrenzen hervorgerufen
wird. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Denial-of-Service zu verursachen.

CVE-2013-6638: Mehrere Pufferüberläufe in Google Chrome

Es existieren mehrere Pufferüberläufe in runtime.cc in Google V8, wie es von
Google Chrome benutzt wird. Ein entfernter, nicht authentifizierte Angreifer
kann diese Schwachstelle ausnutzen, um einen Denial-of-Service zu
verursachen.

CVE-2013-6637: Schwachstelle in Google Chrome

Es existieren mehrere unspezifizierte Schwachstellen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um einen
Denial-of-Service zu verursachen.

CVE-2013-6636: Schwachstelle in Google Chrome

Die Funktion FrameLoader::notifyIfInitialDocumentAccessed in
core/loader/FrameLoader.cpp in Blink, wie sie von Google Chrome benutzt
wird, überprüft ein leeres Dokument, während der Anzeige eines modalen
Dialogs, nicht korrekt. Ein entfernter, nicht authentifizierter Angreifer
kann die Schwachstelle ausnutzen, um dem Anwender das Aufsuchen einer
falschen URL vorzuspiegeln. Dieses kann unter anderem für Phishing-Angriffe
missbraucht werden.

CVE-2013-6635: Use-After-Free Schwachstelle in Blink in Google Chrome

Es existiert eine Use-After-Free Schwachstelle in der Editierfunktion in
Blink wie sie von Google Chrome benutzt wird. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service zu verursachen.

CVE-2013-6634: Schwachstelle in Google Chrome

Eine Schwachstelle in der Funktion
OneClickSigninHelper::ShowInfoBarIfPossible in der Datei
browser/ui/sync/one_click_signin_helper.cc verifiziert URLs nicht korrekt.
Ein entfernter Angreifer kann durch präparierte sync Kommandos nach einem
HTTP Status 302 die Session übernehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2047/

Schwachstelle CVE-2013-6640 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6640

Schwachstelle CVE-2013-6638 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6638

Schwachstelle CVE-2013-6637 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6637

Schwachstelle CVE-2013-6639 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6639

Schwachstelle CVE-2013-6635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6635

Schwachstelle CVE-2013-6636 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6636

Debian Security Advisory DSA-2811:
http://www.debian.org/security/2013/dsa-2811

Schwachstelle CVE-2013-6634 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6634

openSUSE-SU-2013:1927-1:
http://lists.opensuse.org/opensuse-updates/2013-12/msg00090.html

openSUSE-SU-2013:1933-1:
http://lists.opensuse.org/opensuse-updates/2013-12/msg00096.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben