ISN 2024-23: Kritische Sicherheitslücke in Webkit2GTK
Aktualisiert am 13. Januar 2025 (OS 11 Fix Version)
Erstveröffentlichung am 5. Dezember 2024
CVSS 3.1: 9.2 (kritisch)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Zusammenfassung
In Webkit2GTK, einer für die Darstellung von Webinhalten genutzten Bibliothek in IGEL OS, wurde eine Sicherheitslücke entdeckt. Dies betrifft die folgenden IGEL-Produkte:
IGEL OS 12
IGEL OS 11
Details
Es wurde festgestellt, dass die Verarbeitung von bösartig gestalteten Webinhalten in Webkit2GTK zur Ausführung beliebigen Codes führen kann (CVE-2024-44308). Darüber hinaus kann bösartiger Inhalt auch für einen Cross-Site-Scripting-(XSS) Angriff missbraucht werden (CVE-2024-44309).
Diese Schwachstellen werden aktuell aktiv ausgenutzt. IGEL stuft sie für IGEL OS 12 als kritisch ein, da Webkit dort für Single-Sign-On (SSO) verwendet wird, und für OS 11 als hoch.
Update-Anweisungen
OS 12: Aktualisieren Sie auf die IGEL-OS-12-Basissystem-App Version 12.5.2, sobald diese verfügbar ist.
OS 11: Aktualisieren Sie auf IGEL OS 11.10.250 (geplant für den 25. Februar 2025).