ISN 2024-10: Kritische Sicherheitslücke in Chromium
Aktualisiert am 25. April 2024 (Chromium App 124.0.6367.60 verfügbar)
Erstveröffentlichung am 15. April 2024
CVSS 3.1: 9.8 (kritisch)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P
Zusammenfassung
Im Chromium Webbrowser, der in IGEL OS verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese betreffen die folgenden IGEL-Produkte:
IGEL OS 12
IGEL OS 11
Details
Unter den entdeckten Problemen befindet sich eine Use-after-Free Schwachstelle in ANGLE, der WebGL Komponente von Chromium.
Ein Angreifer könnte diese missbrauchen, um über eine manipulierte HTML Seite eine Heap Korruption auszunutzen.
Diese Schwachstelle wird als kritisch eingestuft (CVE-2024-2883). Google ist darüber informiert, dass für diese Schwachstelle bereits ein Exploit im Umlauf ist.
Darüber hinaus wurden weitere als hoch eingestufte Probleme identifiziert: ein Use-after-Free in Dawn (CVE-2024-2885), ein Use-after-Free in WebCodecs (CVE-2024-2886), und ein Type Confusion in WebAssembly (CVE-2024-2887).
Update - Anweisungen
OS 12: Aktualisieren Sie auf die OS 12 Chromium App Version 124.0.6367.60 aus dem IGEL App Portal.
OS 11: Das IGEL OS Private Build 11.09.268 mit Chromium in Version 123.0.6312.105 ist über IGEL Customer Engineering verfügbar.
Quellen
CVE-2024-2883: CVE-2024-2883
Chrome Releases Blog: Stable Channel Update for Desktop Tuesday, March 26, 2024