UPDATE: DFN-CERT-2015-1896 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a das Ausführen beliebigen Programmcodes [Linux][Debian][RedHat][Apple][Windows]

UPDATE: DFN-CERT-2015-1896 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a das Ausführen beliebigen Programmcodes [Linux][Debian][RedHat][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (15.12.2015):
Debian veröffentlicht für die stabile Distribution Jessie ein
Sicherheitsupdate auf die Chromium Version 47.0.2526.80.
Version 2 (14.12.2015):
Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 Supplementary
Varianten Desktop, Server, Server EUS 6.7.z und Workstation
Sicherheitsupdates auf die Chromium Version 47.0.2526.80.
Version 1 (09.12.2015):
Neues Advisory

Betroffene Software:

Chromium < 47.0.2526.80 Google Chrome < 47.0.2526.80 Betroffene Plattformen: Apple Mac OS X Debian Linux 8.2 Jessie GNU/Linux Microsoft Windows Red Hat Enterprise Linux Desktop Supplementary 6 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.7.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in Google Chrome vor Version 47.0.2526.80 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Ausführen beliebigen Programmcodes und andere nicht spezifizierte Angriffe. Google aktualisiert mit dem Stable Channel Update auf Version 47.0.2526.80 auch den Adobe Flash Player auf die Version 20.0.0.228 in der mehrere schwerwiegende Sicherheitslücken behoben wurden. Patch: Chrome Stable Channel Update, 08. Dezember 2015 http://googlechromereleases.blogspot.de/2015/12/stable-channel-update_8.html

Patch:

Red Hat Security Advisory RHSA-2015:2618

http://rhn.redhat.com/errata/RHSA-2015-2618.html

Patch:

Debian Security Advisory DSA-3418-1

https://www.debian.org/security/2015/dsa-3418

CVE-2015-8548: Schwachstellen in Google V8

In Google V8, welches von Chrome und Chromium vor Version 47.0.2526.80
verwendet wird, existieren mehrere nicht näher beschriebene Schwachstellen.
Ein entfernter, nicht authentifizierter Angreifer kann diese ausnutzen, um
einen Denial-of-Service-Zustand zu bewirken oder anderen nicht näher
spezifizierten Einfluss auf das betroffene System zu nehmen.

CVE-2015-6791: Schwachstellen in Google Chrome ermöglichen nicht
spezifizierte Angriffe

Google Chrome vor Version 47.0.2526.80 enthält mehrere nicht näher
beschriebene Schwachstellen. Ein entfernter, nicht authentisierter Angreifer
kann dieser Schwachstellen für nicht näher spezifizierte Angriffe ausnutzen.

CVE-2015-6790: Schwachstelle in Google Chrome ermöglicht Umgehen von
Sicherheitsvorkehrungen

Google Chrome vor Version 47.0.2526.80 enthält eine Schwachstelle bezüglich
des “Escaping” in abgespeicherten Webseiten. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Sicherheitsvorkehrungen zu umgehen, und dadurch Zugriff auf das System
erlangen.

CVE-2015-6789: Use-After-Free-Schwachstelle in Google Chrome ermöglicht
Ausführen beliebigen Programmcodes

Google Chrome vor Version 47.0.2526.80 enthält eine nicht näher
spezifizierte Use-After-Free-Schwachstelle in Blink. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Programmcode auszuführen.

CVE-2015-6788: Schwachstelle in Google Chrome ermöglicht Ausführen
beliebigen Programmcodes

Google Chrome vor Version 47.0.2526.80 enthält eine nicht näher
spezifizierte Type-Confusion-Schwachstelle in der Komponente ‘extensions’.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1896/

Chrome Stable Channel Update, 08. Dezember 2015:
http://googlechromereleases.blogspot.de/2015/12/stable-channel-update_8.html

Schwachstelle CVE-2015-6788 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6788

Schwachstelle CVE-2015-6789 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6789

Schwachstelle CVE-2015-6790 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6790

Schwachstelle CVE-2015-6791 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6791

Red Hat Security Advisory RHSA-2015:2618:
http://rhn.redhat.com/errata/RHSA-2015-2618.html

Schwachstelle CVE-2015-8548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8548

Debian Security Advisory DSA-3418-1:
https://www.debian.org/security/2015/dsa-3418

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben