Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 7 (30.12.21):
Für Fedora 34 und 35 stehen erneut Sicherheitsupdates auf die Chromium
Version 96.0.4664.110 im Status ‘testing’ zur Verfügung. Diese ersetzen
die vorherigen Updates FEDORA-2021-411e9aef77 (Fedora 34,
chromium-96.0.4664.110-2.fc34) und FEDORA-2021-ab14002798 (Fedora 35,
chromium-96.0.4664.110-2.fc35), welche in den Status ‘obsolete’ überführt
wurden (Referenzen hier entfernt). Die neuen Updates beinhalten die
Detektion von ‘wayland’ und die Ergänzung entsprechender ‘pass flags’, um
Unterstützung hierfür zu verbessern.
Version 6 (28.12.21):
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für ‘chromium’ auf
Versionen 96.0.4664.110 bereit, womit diese Schwachstellen und mit
früheren Versionen behobene Schwachstellen adressiert werden.
Version 5 (27.12.21):
Für Fedora EPEL 8 steht ein Sicherheitsupdate in Form des Paketes
‘chromium-96.0.4664.110-2.el8’ im Status ‘testing zur Verfügung, mit dem
die betroffene Software auf Version 96.0.4664.110 aktualisiert wird. Mit
dem Update werden zahlreiche weitere Schwachstellen aus älteren Versionen
der Software adressiert.
Version 4 (23.12.21):
Für Fedora 34 und 35 stehen Sicherheitsupdates auf die Chromium Version
96.0.4664.110 im Status ‘testing’ zur Verfügung, um die aufgeführten
Schwachstellen zu beheben. Wie üblich werden in den
Sicherheitsinformationen auch Schwachstellen als behoben aufgeführt, die
bereits mit vorherigen Chromium Versionen adressiert wurden, für die
allerdings keine Pakete für die Fedora Distributionen veröffentlicht
wurden.
Version 3 (20.12.21):
Für openSUSE Backports SLE 15 SP3 steht ein Sicherheitsupdate für
‘chromium’ auf Versionen 96.0.4664.110 bereit, um die Schwachstellen zu
beheben.
Version 2 (15.12.21):
Microsoft stellt Microsoft Edge Version 96.0.1054.53 auf Basis von
Chromium 96.0.4664.110 zur Behebung der Schwachstellen bereit.
Version 1 (14.12.21):
Neues Advisory
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe
durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Alle Schwachstellen erfordern für eine erfolgreiche Ausnutzung die
Interaktion eines Benutzers.
Die Schwachstelle CVE-2021-4098 in Mojo wird von Google als kritisch
eingestuft und bezüglich der Schwachstelle CVE-2021-4102 in V8 liegen
Informationen über die Existenz von verbreitetem Schadcode vor.
Google stellt, wie üblich, zunächst nur eingeschränkte Informationen zu den
Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Details
darauf, dass ein Großteil der Benutzer das Update auf die neue Version
vollzogen hat.
Zur Behebung der Schwachstellen veröffentlicht Google die Chrome Version
96.0.4664.110 für die Betriebssysteme Linux, Windows und macOS. Zusätzlich
kündigt der Hersteller an, dass in den nächsten Tagen bzw. Wochen für
Windows und macOS die Extended Chrome Version 96.0.4664.110 bereitgestellt
wird.
Google informiert darüber, dass innerhalb der nächsten Tage Chrome
96.0.4664.104 für Android über Google Play und innerhalb der nächsten
Stunden Chrome 96.0.4664.101 für iOS über den App Store zur Verfügung
gestellt wird. Laut Hersteller umfassen diese Versionen lediglich
Stabilitäts- und Performanceverbesserungen, sie stellen keine
Sicherheitsupdates dar.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2594]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
