You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1534

[Generic/Chrome] Mehrere Schwachstellen in Google Chrome
(2009-04-22 11:01:57.340774+00) Druckversion

Quelle: http://googlechromereleases.blogspot.com/2009/05/stable-update-security-fix.html

Zwei Schwachstellen in Googles Browser Chrome können dazu ausgenutzt werden, beliebigen Code in der Chrome Sandbox oder auf dem beherbergenden System auszuführen. Die neue Version Chrome 1.0.154.64 behebt die Schwachstellen.

Inhalt

Zusammenfassung

  • CVE-2009-1441:
    Betroffen: Alle Chrome-Versionen <1.0.154.64
    Einfallstor: Chrome Render-Prozess
    Angriffsvoraussetzung: user credentials
    Angriffsvektorklasse: local (mittelbar: remote)
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-1441
  • CVE-2009-1442:
    Betroffen: skia2D vor der Version 154.64 (mittelbar Chrome <1.0.154.64)
    Einfallstor: Bilddatei oder Canvas-Element
    Angriffsvoraussetzung: user interaction
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-1442

Betroffene Systeme

  • CVE-2009-1441:
    Alle Chrome-Versionen <1.0.154.64
  • CVE-2009-1442:
    skia2D vor der Version 154.64. Chrome nutzt diese Version der Bibliothek ab der Version 1.0.154.64.

Einfallstor

  • CVE-2009-1441:
    Ein bereits manipulierter Chrome Render-Prozess.
  • CVE-2009-1442:
    Eine mit skia2D gelesene Bilddatei oder ein Canvas-Element.

Angriffsvoraussetzung

  • CVE-2009-1441:
    Gültiger (unprivilegierter) Berechtigungsnachweis
    (user credentials)
  • CVE-2009-1442:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechend präparierte Webseite mit einer verwundbaren Applikation zu öffnen.
    (user interaction)

Angriffsvektorklasse

  • CVE-2009-1441:
    lokal auf einem betroffenen System
    (local)
  • CVE-2009-1442:
    über eine Netzwerkverbindung
    (remote)

Auswirkung

  • CVE-2009-1441:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
    (user compromise)
  • CVE-2009-1442:
    Ausführung von beliebigem Programmcode in dessen Sandbox
    (user compromise)

Typ der Verwundbarkeit

  • CVE-2009-1441:
    Speicherverletzung
    (memory corruption)
  • CVE-2009-1442:
    Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • CVE-2009-1441:
    hoch
  • CVE-2009-1442:
    hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2009-1441:
    Von einem bereits modifizierten Chrome Render-Prozess aus kann ein Angreifer die unzureichende Validierung von per Inter-Prozess-Kommunikation ausgetauschten Bitmap-Daten nutzen um den Browser zum Absturz zu bringen oder beliebigen Code auszuführen.
  • CVE-2009-1442:
    Bei einer Integer-Multiplikation zum Berechnen von Bildgrößen kann wegen einer mangelnden Ergebnisprüfung mit einem speziell erstellten Bild oder Canvas-Element ein Render-Prozess zum Absturz gebracht werden oder in der Sandbox von diesem Prozess beliebiger Code ausgeführt werden.

Gegenmaßnahmen

  • CVE-2009-1441:
    • Chrome aktualisiert sich selbst ohne Benutzerinteraktion
  • CVE-2009-1442:
    • Chrome aktualisiert sich selbst ohne Benutzerinteraktion
    • Auschecken der aktuellen skia2D Bibliothek aus dem SVN

Vulnerability ID

Weitere Information zu diesem Thema

(ms)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.