Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (08.06.18):
Für Red Hat Enterprise Linux 6 Supplementary stehen Sicherheitsupdates
bereit, mit denen Chromium auf Version 67.0.3396.62 aktualisiert wird. Die
Updates stehen damit für Red Hat Enterprise Linux Desktop, Server und
Workstation 6 zur Verfügung.
Version 2 (01.06.18):
Für openSUSE Leap 42.3, openSUSE Leap 15.0 und SUSE Package Hub for SUSE
Linux Enterprise 12 stehen Sicherheitsupdates für Chromium auf Version
67.0.3396.62 bereit, um diese Schwachstellen zu beheben. openSUSE nennt
dabei im Text fälschlich die Chromium Version 66.0.3359.181.
Version 1 (30.05.18):
Neues Advisory

Insgesamt 34 Schwachstellen existieren in Google Chrome und Chromium, von
denen 24 durch externe Sicherheitsforscher entdeckt wurden. 9 dieser
Schwachstellen sind mit ‘high’ bewertet. Viele der Schwachstellen können
vermutlich von einem entfernten, nicht authentisierten Angreifer, z.B. mit
Hilfe einer manipulierten Website oder Chrome-Erweiterung, ausgenutzt werden
und ermöglichen dem Angreifer unter anderem die Ausführung beliebigen
Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung
falscher Informationen, das Ausspähen von Informationen sowie die
Durchführung von Denial-of-Service (DoS)-Angriffen.

Zur Behebung der Schwachstellen steht die Chrome Browser Version
67.0.3396.62 für die Betriebssysteme Linux, Windows und macOS zur Verfügung.
Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zu
den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer
Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue
Version vollzogen hat.

Weiterhin weist Google darauf hin, dass ‘Site Isolation’ nun für einen
größeren Prozentsatz der stabilen Population in Chrome 67 ausgerollt wird.
‘Site Isolation’ verbessert die Sicherheit von Chrome und hilft bei der
Mitigation von durch ‘Spectre’ verursachten Risiken. Um festzustellen, ob
ein Problem durch ‘Site Isolation’ verursacht wird, kann diese durch
‘chrome://flags#site-isolation-trial-opt-out’ versuchsweise abgeschaltet
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1028]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (01.06.18):
Für openSUSE Leap 42.3, openSUSE Leap 15.0 und SUSE Package Hub for SUSE
Linux Enterprise 12 stehen Sicherheitsupdates für Chromium auf Version
67.0.3396.62 bereit, um diese Schwachstellen zu beheben. openSUSE nennt
dabei im Text fälschlich die Chromium Version 66.0.3359.181.
Version 1 (30.05.18):
Neues Advisory

Insgesamt 34 Schwachstellen existieren in Google Chrome und Chromium, von
denen 24 durch externe Sicherheitsforscher entdeckt wurden. 9 dieser
Schwachstellen sind mit ‘high’ bewertet. Viele der Schwachstellen können
vermutlich von einem entfernten, nicht authentisierten Angreifer, z.B. mit
Hilfe einer manipulierten Website oder Chrome-Erweiterung, ausgenutzt werden
und ermöglichen dem Angreifer unter anderem die Ausführung beliebigen
Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung
falscher Informationen, das Ausspähen von Informationen sowie die
Durchführung von Denial-of-Service (DoS)-Angriffen.

Zur Behebung der Schwachstellen steht die Chrome Browser Version
67.0.3396.62 für die Betriebssysteme Linux, Windows und macOS zur Verfügung.
Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zu
den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer
Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue
Version vollzogen hat.

Weiterhin weist Google darauf hin, dass ‘Site Isolation’ nun für einen
größeren Prozentsatz der stabilen Population in Chrome 67 ausgerollt wird.
‘Site Isolation’ verbessert die Sicherheit von Chrome und hilft bei der
Mitigation von durch ‘Spectre’ verursachten Risiken. Um festzustellen, ob
ein Problem durch ‘Site Isolation’ verursacht wird, kann diese durch
‘chrome://flags#site-isolation-trial-opt-out’ versuchsweise abgeschaltet
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1028]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html