Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (03.05.2016):
Für die Debian Distribution Jessie steht ein Sicherheitsupdate für den
Chromium Browser zur Verfügung.
Version 2 (02.05.2016):
Red Hat stellt für die Produkte Red Hat Enterprise Linux Desktop 6, Server
6 und EUS 6.7.z sowie Workstation 6 aus dem Supplementary-Kanal
Sicherheitsupdates für den Chromium Browser auf Version 50.0.2661.94
bereit.
Version 1 (29.04.2016):
Neues Advisory
Betroffene Software:
Chromium < 50.0.2661.94 Google Chrome < 50.0.2661.94 Betroffene Plattformen: Apple Mac OS X Debian Linux 8.4 Jessie GNU/Linux Microsoft Windows Red Hat Enterprise Linux Desktop Supplementary 6 Red Hat Enterprise Linux Server Supplementary 6 Red Hat Enterprise Linux Server Supplementary 6.7.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in Google Chrome vor Version 50.0.2661.94 auf Windows, Mac und Linux Systemen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, Darstellen falscher Informationen, Ausspähen von Informationen sowie die Durchführung von Denial-of-Service (DoS)-Angriffen. Die Schwachstellen werden mit dem Stable Channel Update auf die Chrome Version 50.0.2661.94 behoben. Patch: Chrome Stable Channel Update, 28. April 2016 http://googlechromereleases.blogspot.de/2016/04/stable-channel-update_28.html
Patch:
Red Hat Security Advisory RHSA-2016:0707-1
http://rhn.redhat.com/errata/RHSA-2016-0707.html
Patch:
Debian Security Advisory DSA-3564-1
https://www.debian.org/security/2016/dsa-3564
CVE-2016-1666: Schwachstellen in Google Chrome ermöglichen nicht
spezifizierte Angriffe
In Google Chrome und Chromium vor Version 50.0.2661.94 existieren mehrere
nicht näher beschriebene Schwachstellen. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstellen über unbekannte Vektoren
ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu
beeinträchtigen.
CVE-2016-1665: Schwachstelle in V8 ermöglicht Ausspähen von Informationen
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Schwachstelle in der Komponente V8, die es ermöglicht,
sensitive Informationen offenzulegen. Ein entfernter, nicht
authentifizierter Angreifer kann Informationen ausspähen.
CVE-2016-1664: Schwachstelle in Google Chrome erlaubt Darstellen falscher
Informationen
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Adress-Bar-Spoofing-Schwachstelle. Ein entfernter, nicht
authentifizierter Angreifer ist dadurch in der Lage, z.B. für eine schädlich
präparierte Webseite im Adressfeld (Address bar) einen falschen Domain-Namen
anzeigen zu lassen (Spoofing), wodurch weitere nicht spezifizierte Angriffe
möglich werden.
CVE-2016-1663: Schwachstelle in Blink V8 Bindings ermöglicht Ausführen
beliebigen Programmcodes
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher beschriebene Schwachstelle in den V8 Bindings der Komponente Blink,
durch die Speicherbereiche nach deren Freigabe verwendet werden können
(Use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann
durch das Ausnutzen der Schwachstelle einen Denial-of-Service (DoS)-Zustand
herbeiführen oder möglicherweise sogar beliebigen Programmcode zur
Ausführung bringen.
CVE-2016-1662: Schwachstelle in Google Chrome ermöglicht Ausführen
beliebigen Programmcodes
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Schwachstelle in Verbindung mit Erweiterungen des
Browsers, durch die Speicherbereiche nach deren Freigabe verwendet werden
können (Use-after-free). Ein entfernter, nicht authentifizierter Angreifer
kann durch das Ausnutzen der Schwachstelle einen Denial-of-Service
(DoS)-Zustand herbeiführen oder möglicherweise sogar beliebigen Programmcode
zur Ausführung bringen.
CVE-2016-1661: Schwachstelle in Google Chrome ermöglicht Ausführen
beliebigen Programmcodes
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Schwachstelle in ‘cross-process frames’, durch die es zu
einer Speicherkorruption kommen kann (Memory corruption). Ein entfernter,
nicht authentifizierter Angreifer kann durch das Ausnutzen der Schwachstelle
einen Denial-of-Service (DoS)-Zustand herbeiführen oder möglicherweise sogar
beliebigen Programmcode zur Ausführung bringen.
CVE-2016-1660: Schwachstelle in Blink ermöglicht Ausführen beliebigen
Programmcodes
Google Chrome und Chromium vor Version 50.0.2661.94 enthalten eine nicht
näher spezifizierte Schwachstelle in der Komponente Blink, durch die
Schreibzugriffe außerhalb von Speichergrenzen möglich sind (Out-of-bounds
write). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle für einen Denial-of-Service (DoS)-Angriff oder möglicherweise
sogar zum Ausführen beliebigen Programmcodes ausnutzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0690/
Schwachstelle CVE-2015-1666 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1666
Chrome Stable Channel Update, 28. April 2016:
http://googlechromereleases.blogspot.de/2016/04/stable-channel-update_28.html
Schwachstelle CVE-2016-1660 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1660
Schwachstelle CVE-2016-1661 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1661
Schwachstelle CVE-2016-1662 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1662
Schwachstelle CVE-2016-1663 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1663
Schwachstelle CVE-2016-1664 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1664
Schwachstelle CVE-2016-1665 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1665
Schwachstelle CVE-2016-1666 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1666
Red Hat Security Advisory RHSA-2016:0707-1:
http://rhn.redhat.com/errata/RHSA-2016-0707.html
Debian Security Advisory DSA-3564-1:
https://www.debian.org/security/2016/dsa-3564
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
