UPDATE: DFN-CERT-2016-0762 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat][Apple][Windows]

UPDATE: DFN-CERT-2016-0762 Google Chrome, Chromium: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (13.05.2016):
Für Red Hat Enterprise Linux 6 Supplementary für Desktop, Server und
Workstation stehen Sicherheitsupdates von Chromium in der Version
50.0.2661.102 bereit. Die Schwachstelle CVE-2016-1671 wird nicht
adressiert.
Version 1 (12.05.2016):
Neues Advisory

Betroffene Software:

Chromium < 50.0.2661.102 Google Chrome < 50.0.2661.102 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Red Hat Enterprise Linux Desktop Supplementary 6 Red Hat Enterprise Linux Server Supplementary 6 Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in Google Chrome vor Version 50.0.2661.102 auf Windows, Mac und Linux Systemen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, Umgehen von Sicherheitsvorkehrungen, Ausspähen von Informationen sowie einen nicht spezifizierten Angriff. Die Schwachstellen werden mit dem Stable Channel Update auf die Chrome Version 50.0.2661.102 behoben. Patch: Chrome Stable Channel Update, 11. Mai 2016 http://googlechromereleases.blogspot.de/2016/05/stable-channel-update.html

Patch:

Red Hat Security Advisory RHSA-2016:1080

http://rhn.redhat.com/errata/RHSA-2016-1080.html

CVE-2016-1671: Schwachstelle in Google Chrome ermöglicht Ausspähen von
Informationen

In Google Chrome und Chromium vor Version 50.0.2661.102 existiert eine nicht
näher spezifizierte Directory Traversal-Schwachstelle, die im Zusammenhang
mit der Verwendung des File-Schemas auf Android auftritt. Ein entfernter,
nicht authentifizierter Angreifer kann die Schwachstelle für einen Directory
Traversal-Angriff ausnutzen und Informationen ausspähen..

CVE-2016-1670: Schwachstelle in Google Chrome ermöglicht nicht spezifizierte
Angriffe

In Google Chrome und Chromium vor Version 50.0.2661.102 existiert eine nicht
näher spezifizierte Schwachstelle, aufgrund einer Wettlaufsituation (Race
Condition) in der Komponente Loader. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle für nicht spezifizierte Angriffe
ausnutzen.

CVE-2016-1669: Schwachstelle in V8 ermöglicht Ausführen beliebigen
Programmcodes

Google Chrome und Chromium vor Version 50.0.2661.102 enthalten eine nicht
näher spezifizierte Schwachstelle in der Komponente V8, durch die der
Pufferspeicher zum Überlauf gebracht werden kann (Buffer overflow). Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle für
einen Denial-of-Service (DoS)-Angriff oder möglicherweise sogar zum
Ausführen beliebigen Programmcodes ausnutzen.

CVE-2016-1668: Schwachstelle in Blink V8 Bindings ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Google Chrome und Chromium vor Version 50.0.2661.102 existiert eine nicht
näher spezifizierte Schwachstelle in den V8 Bindings der Komponente Blink,
durch die die Same-Origin-Policy umgangen werden kann. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Sicherheitsvorkehrungen zu umgehen.

CVE-2016-1667: Schwachstelle in Google Chrome ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Google Chrome und Chromium vor Version 50.0.2661.102 existiert eine nicht
näher spezifizierte Schwachstelle in DOM, durch die die Same-Origin-Policy
umgangen werden kann. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0762/

Chrome Stable Channel Update, 11. Mai 2016:
http://googlechromereleases.blogspot.de/2016/05/stable-channel-update.html

Schwachstelle CVE-2016-1667 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1667

Schwachstelle CVE-2016-1668 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1668

Schwachstelle CVE-2016-1669 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1669

Schwachstelle CVE-2016-1670 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1670

Schwachstelle CVE-2016-1671 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1671

Red Hat Security Advisory RHSA-2016:1080:
http://rhn.redhat.com/errata/RHSA-2016-1080.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben