Breadcrumbs

ISN 2024-07: Sicherheitslücken in Chromium

Aktualisiert am 15. April 2024 (IGEL OS 11.09.310 verfügbar)

Erstveröffentlichung am 25. März 2024

CVSS 3.1: 8.8 (hoch)

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Zusammenfassung

Im Chromium Webbrowser, der in IGEL OS verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese betreffen die folgenden IGEL-Produkte:

  • IGEL OS 12

  • IGEL OS 11

Details

Unter den im Chromium Webbrowser gefundenen Sicherheitsproblemen betreffen mehrere die V8 JavaScript Engine. Sie sind alle als hoch eingestuft und reichen von Type Confusion (CVE-2024-0518, CVE-2024-1938, CVE-2024-1939) über unangemessene Implementierungen (CVE-2024-2174) bis hin zu Out-of-Bounds Speicherzugriffen (CVE-2024-2173, CVE-2024-0519).

Use-after-free Schwachstellen, die ebenfalls als hoch eingestuft sind, wurden in den Komponenten Mojo (CVE-2024-1284, CVE-2024-1670), Performance Manager (CVE-2024-2400), WebAudio (CVE-2024-0807), Network (CVE-2024-1077), WebRTC (CVE-2024-1059), Canvas (CVE-2024-1060) und FedCM (CVE-2024-2176) gefunden. Diese könnten es einem entfernten Angreifer ermöglichen, über speziell manipulierteDaten eine Heap-Korruption auszunutzen.

Weitere Probleme sind Out-of-Bounds Speicherzugriffe in Blink (CVE-2024-1669), ein Heap Buffer Overflow in Skia (CVE-2024-1283), eine unangemessene Implementierung in Accessibility (CVE-2024-0812) sowie ein Integer Underflow in WebUI (CVE-2024-0808). Diese werden ebenfalls als hoch eingestuft.

Update - Anweisungen

  • OS 12: Aktualisieren Sie die OS 12 Chromium App auf Version 122.0.6261.128, sobald diese im IGEL App Portal verfügbar ist.

  • OS 11: Aktualisieren Sie auf IGEL OS Version 11.09.310.

Quellen