Debians sikkerhedsbulletin

DSA-2695-1 chromium-browser -- flere problemer

Rapporteret den:
29. maj 2013
Berørte pakker:
chromium-browser
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-2837, CVE-2013-2838, CVE-2013-2839, CVE-2013-2840, CVE-2013-2841, CVE-2013-2842, CVE-2013-2843, CVE-2013-2844, CVE-2013-2845, CVE-2013-2846, CVE-2013-2847, CVE-2013-2848, CVE-2013-2849.
Yderligere oplysninger:

Flere sårbarheder er opdaget i webbrowseren Chromium. Flere sårbarheder i forbindelse med anvendelse efter frigivelse, læsning uden for grænserne, hukommelsessikkerhed og udførelse af skripter på tværs af websteder, blev opdaget og rettet.

  • CVE-2013-2837

    En anvendelse efter frigivelse-sårbarhed i SVG-implementeringen, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service) eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.

  • CVE-2013-2838

    Google V8, som anvendes i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (læsning uden for grænserne) via ikke-angivne angrebsvinkler.

  • CVE-2013-2839

    Chromium før version 27.0.1453.93 udførte ikke på korrekt vis en cast of en ikke-angivet variabel under håndtering af klippebordsdata, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangerb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.

  • CVE-2013-2840

    En anvendelse efter frigivelse-sårbarhed i Chromiums medieindlæser i versioner før 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler; det er en anden sårbarhed end CVE-2013-2846.

  • CVE-2013-2841

    En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af Pepper-ressourcer.

  • CVE-2013-2842

    En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af widgets.

  • CVE-2013-2843

    En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af taledata.

  • CVE-2013-2844

    En anvendelse efter frigivelse-sårbarhed i implementeringen af Cascading Style Sheets (CSS) i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med styleresolution.

  • CVE-2013-2845

    Implementeringen af Web Audio i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (hukommelseskorruption) eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.

  • CVE-2013-2846

    En anvendelse efter frigivelse-sårbarhed i mediaindlæseren i Chromium før version 27.0.1453.93, gjordet det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler; det er en anden sårbarhed end CVE-2013-2840.

  • CVE-2013-2847

    En kapløbstilstand i workers-implementeringen i Chromium før version 27.0.1453.93, gjordet det muligt for fjernangribere at forårsage et lammelsesangreb (anvendelse efter frigivelse eller applikationsnedbrud) eller muligvis anden ikke-angivet indvirkning via ukendte angrebsvinkler.

  • CVE-2013-2848

    XSS Auditor i Chromium før version 27.0.1453.93, gjorde det måske muligt for fjernangribere at få fat i følsomme oplysninger via ikke-angivne angrebsvinkler.

  • CVE-2013-2849

    Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i Chromium før version 27.0.1453.93, gjordet det muligt for brugerhjulpne fjernangribere at indsprøjte vilkårligt webskript eller HTML via angrebsvinkler med relation til (1) træk og slip- eller (2) kopier og indsæt-handlinger.

I den gamle stabile distribution (squeeze), er tidsrummet med sikkerhedsunderstøttelse af Chromium udløbet. Brugere af Chromium i den gamle stabile distribution, opfordres derfor meget kraftigt til at opgradere til den aktuelle stabile Debian-udgave (wheezy). Sikkerhedsunderstøttelse af Chromium i wheezy fortsætter indtil den næste stabile udgave (jessie), som forventes en gang i løbet af 2015.

I den stabile distribution (wheezy), er disse problemer rettet i version 27.0.1453.93-1~deb7u1.

I distributionen testing (jessie), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 27.0.1453.93-1.

Vi anbefaler at du opgraderer dine chromium-browser-pakker.