UPDATE: DFN-CERT-2017-1902 Google Chrome, Chromium: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][SuSE][Apple][Windows]

UPDATE: DFN-CERT-2017-1902 Google Chrome, Chromium: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][SuSE][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (30.10.2017):
Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen
Sicherheitsupdates auf die Chromium Version 62.0.3202.75 bereit. Neben der
hier aufgeführten Schwachstelle werden auch die 20 öffentlich gemachten
Schwachstellen, die in der vorhergehenden Chromium Version 62.0.3202.62
behoben wurden, in dem openSUSE Security Update referenziert, da für diese
kein Update von openSUSE veröffentlicht wurde. Zu den Angriffen, die über
die 20 weiteren Schwachstellen möglich sind, gehören das Ausführen
beliebigen Programmcodes, das Darstellen falscher Informationen, das
Umgehen von Sicherheitsvorkehrungen, die Durchführung von
Denial-of-Service (DoS)-Angriffen, das Ausspähen von Informationen und die
Durchführung eines Universal-Cross-Site-Scripting (UXSS)-Angriffs.
Version 1 (27.10.2017):
Neues Advisory

Betroffene Software:

Chromium < 62.0.3202.75 Google Chrome < 62.0.3202.75 Betroffene Plattformen: Apple Mac OS X macOS Sierra GNU/Linux Microsoft Windows openSUSE Leap 42.2 openSUSE Leap 42.3 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in der Komponente V8 von Google Chrome ausnutzen, um den Stack-basierten Pufferspeicher zum Überlauf zu bringen (Stack Buffer Overflow) und so einen Denial-of-Service (DoS)-Angriff durchführen oder beliebigen Programmcode zur Ausführung bringen. Google veröffentlicht das Chrome Stable Channel Update for Desktop 62.0.3202.75 für Windows, Macintosh (Mac OS X und macOS Sierra) sowie Linux als Sicherheitsupdate zur Behebung der Schwachstelle. Die Kritikalität der Schwachstelle wird vom Hersteller mit 'high' bewertet. Patch: Chrome Stable Channel Update, 26. Oktober 2017 https://chromereleases.googleblog.com/2017/10/stable-channel-update-for-desktop_26.html

Patch:

openSUSE Security Update openSUSE-SU-2017:2902-1

http://lists.opensuse.org/opensuse-updates/2017-10/msg00118.html

CVE-2017-15396: Schwachstelle in V8 ermöglicht Ausführen beliebigen
Programmcodes

In Google Chrome vor der Version 62.0.3202.75 besteht eine nicht näher
beschriebene Schwachstelle in der Komponente V8, die es ermöglicht den
Stack-basierten Pufferspeicher zum Überlauf zu bringen (Stack Buffer
Overflow).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1902/

Chrome Stable Channel Update, 26. Oktober 2017:
https://chromereleases.googleblog.com/2017/10/stable-channel-update-for-desktop_26.html

Schwachstelle CVE-2017-15396 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15396

openSUSE Security Update openSUSE-SU-2017:2902-1:
http://lists.opensuse.org/opensuse-updates/2017-10/msg00118.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben