UPDATE: DFN-CERT-2015-0895 Google Chrome, Ubuntu oxide-qt: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat][SuSE][Windows]

UPDATE: DFN-CERT-2015-0895 Google Chrome, Ubuntu oxide-qt: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat][SuSE][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (30.06.2015):
Canonical stellt für die Distributionen Ubuntu 15.04, Ubuntu 14.10 und
Ubuntu 14.04 LTS für die Web Browser Engine oxide-qt Sicherheitsupdates
bereit.
Version 3 (26.06.2015):
openSUSE stellt für die Distributionen openSUSE 13.1 und openSUSE 13.2
Sicherheitsupdates für Chromium bereit.
Version 2 (25.06.2015):
Für verschiedene Varianten von Red Hat Enterprise Linux 6 Supplementary
stehen nun Sicherheitsupdates in der Form aktualisierter Pakete für den
Chromium-Browser zur Verfügung.
Version 1 (23.06.2015):
Neues Advisory

Betroffene Software:

Google Chrome < 43.0.2357.130 oxide-qt Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Canonical Ubuntu Linux 15.04 GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 Red Hat Enterprise Linux Desktop Supplementary 6 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.6.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in Google Chrome vor Version 43.0.2357.130 für Windows, Mac OS X und Linux ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und möglicherweise das Ausführen beliebiger Befehle. Patch: Google Chrome-ADV-Monday, June 22, 2015 http://googlechromereleases.blogspot.de/2015/06/chrome-stable-update.html

Patch:

Red Hat Security Advisory RHSA-2015:1188

http://rhn.redhat.com/errata/RHSA-2015-1188.html

Patch:

openSUSE Security Update openSUSE-SU-2015:1146-1

http://lists.opensuse.org/opensuse-updates/2015-06/msg00057.html

Patch:

Ubuntu Security Notice USN-2652-1

http://www.ubuntu.com/usn/usn-2652-1/

CVE-2015-1269: Schwachstelle in HSTS/HPKP Preload List ermöglicht Umgehen
von Sicherheitsmaßnahmen

Eine nicht näher spezifizierte Schwachstelle in der HSTS/HPKP Preload List
in Chrome bevor 43.0.2357.130 führt zu einem Normalisierungsfehler
(“normalization error”). Ein entfernter, nicht authentifizierter Angreifer
kann Sicherheitsmaßnahmen umgehen.

CVE-2015-1268: Schwachstelle in Blink ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine nicht näher beschriebene Schwachstelle in Blink in Chrome bevor
43.0.2357.130 ermöglicht die Beschränkungen für das Teilen von Ressourcen
über verschiedene Quellen zu umgehen (“cross-origin bypass”). Ein
entfernter, nicht authentifizierter Angreifer kann Sicherheitsmaßnahmen
umgehen.

CVE-2015-1267: Schwachstelle in Blink ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine nicht näher beschriebene Schwachstelle in Blink in Chrome bevor
43.0.2357.130 ermöglicht die Beschränkungen für das Teilen von Ressourcen
über verschiedene Quellen zu umgehen (“cross-origin bypass”). Ein
entfernter, nicht authentifizierter Angreifer kann Sicherheitsmaßnahmen
umgehen.

CVE-2015-1266: Schwachstelle in WebUI ermöglicht Ausführen beliebigen
Programmcodes

Eine nicht näher beschriebene Schwachstelle im Webinterface (WebUI) von
Chrome bevor 43.0.2357.130 ermöglicht einem entfernten, nicht
authentifizierten Angreifer durch nicht genannte Aktionen einen Fehler bei
der Schema-Überprüfung auszulösen (“scheme validation error”) und dadurch
möglicherweise einen Denial-of-Service-Zustand herbei- oder beliebigen
Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0895/

Google Chrome-ADV-Monday, June 22, 2015:
http://googlechromereleases.blogspot.de/2015/06/chrome-stable-update.html

Schwachstelle CVE-2015-1266 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1266

Schwachstelle CVE-2015-1267 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1267

Schwachstelle CVE-2015-1268 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1268

Schwachstelle CVE-2015-1269 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1269

Red Hat Security Advisory RHSA-2015:1188:
http://rhn.redhat.com/errata/RHSA-2015-1188.html

openSUSE Security Update openSUSE-SU-2015:1146-1:
http://lists.opensuse.org/opensuse-updates/2015-06/msg00057.html

Ubuntu Security Notice USN-2652-1:
http://www.ubuntu.com/usn/usn-2652-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben