Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2017-1061 [1.00]

Kwetsbaarheden verholpen in Google Chrome

07-12-2017 - Er zijn diverse kwetsbaarheden verholpen in de Google Chrome browser.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Google Chrome
Advisory ID     : NCSC-2017-1061
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2017-15407.CVE-2017-15408, CVE-2017-15409,
                  CVE-2017-15410, CVE-2017-15411, CVE-2017-15412,
                  CVE-2017-15413, CVE-2017-15415, CVE-2017-15416,
                  CVE-2017-15417, CVE-2017-15418, CVE-2017-15419,
                  CVE-2017-15420, CVE-2017-15422, CVE-2017-15423,
                  CVE-2017-15424, CVE-2017-15425, CVE-2017-15426,
                  CVE-2017-15427
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Remote code execution (Gebruikersrechten)
                  Spoofing
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20171207
Toepassing      : Google Chrome
Versie(s)       : < 63.0.3239.84
Platform(s)     : 

Samenvatting
   Er zijn diverse kwetsbaarheden verholpen in de Google Chrome
   browser.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om
   willekeurige code uitvoeren met de rechten van de ingelogde
   gebruiker, gevoelige informatie in te zien of URL's te spoofen.

Beschrijving
   ====================================================================
   | CVE-ID         | Kwetsbaarheid                                   |
   |------------------------------------------------------------------|
   | CVE-2017-15407 | Out of bounds schrijven in QUIC                 |
   | CVE-2017-15408 | Heap buffer overflow in PDFium                  |
   | CVE-2017-15409 | Out of bounds schrijven in Skia                 |
   | CVE-2017-15410 | Use after free in PDFium                        |
   | CVE-2017-15411 | Use after free in PDFium                        |
   | CVE-2017-15412 | Use after free in libXML                        |
   | CVE-2017-15413 | Type confusion in WebAssembly                   |
   | CVE-2017-15415 | Toegang gegevens in IPC call                    |
   | CVE-2017-15416 | Out of bounds lezen in Blink                    |
   | CVE-2017-15417 | Cross origin toegang tot gegevens               |
   | CVE-2017-15418 | Gebruik ongeïnitialiseerde waarde in Skia       |
   | CVE-2017-15419 | Cross origin lek van redirect URL in Blink      |
   | CVE-2017-15420 | URL spoofing in Omnibox                         |
   | CVE-2017-15422 | Integer overflow in ICU                         |
   | CVE-2017-15423 | Probleem met SPAKE implementatie in BoringSSL   |
   | CVE-2017-15424 | URL Spoof in Omnibox                            |
   | CVE-2017-15425 | URL Spoof in Omnibox                            |
   | CVE-2017-15426 | URL Spoof in Omnibox                            |
   | CVE-2017-15427 | Onvolledige blokkade JavaScript in Omnibox      |
   ====================================================================

Mogelijke oplossingen
   Google heeft versie 63.0.3239.84 van Chrome uitgebracht om de
   kwetsbaarheden te verhelpen. Zie de volgende pagina voor meer
   informatie:
   
   https://chromereleases.googleblog.com/2017/12
      /stable-channel-update-for-desktop.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 777)
Charset: utf-8

wsDVAwUBWikPfyhuEbXFfhL2AQi8kgv/YKhBzQbvcLDbVXfguDQeheHYOo27IsFb
nASPEjGsNDugW0q3ThF6uXkuEatdUNh/pgMKszj9laeKsabX6zt9EBhAj+Eidohb
LgRXiYgnUjFdKJJdIRWwtnpnJkviYc6iN+ignYNTF46RAWUUXWCqdBgnqBm+bG5f
kVEOdatzoOL7QXzGr7oJ2HCiM8WbEL1+V2H4Z/dj0usjb7ZrAWDtVP3Tf5IXmarP
SYA3WqJyceArIwdi/TXKtQBkAksUhce6Rfk95TA59Y2oW3cgNFVz4bSaYMUIJL2Z
3DGXFVLoy1+NZDNmKCStJeU1L0JDRbYZE5CrQTlMMbA9uOQgcANF5SL1iSM1tp1s
LkiGVIJ2Nhutkgoq9nQI2OrVDQGoSADuw9yyi0la4ImEciWPxZKHTamzbwCqoEQ6
sIEQY5B0y1HZ4r7+oka279eYiCSEW8YKrCM4rDgDW0dxTR6e3RclPx8wbbXRupbE
K9jBJK9f2NdiB1oT8XiwQ0tCg1kYlnPC
=gRKM
-----END PGP SIGNATURE-----

Over het NCSC

NCSCstill

CSBN 2017

CSBN 2017