Bulletin d'alerte Debian

DSA-2695-1 chromium-browser -- Plusieurs problèmes

Date du rapport :
29 mai 2013
Paquets concernés :
chromium-browser
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-2837, CVE-2013-2838, CVE-2013-2839, CVE-2013-2840, CVE-2013-2841, CVE-2013-2842, CVE-2013-2843, CVE-2013-2844, CVE-2013-2845, CVE-2013-2846, CVE-2013-2847, CVE-2013-2848, CVE-2013-2849.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium. Plusieurs problèmes d’utilisation de mémoire après libération, lecture hors limites, sécurité de mémoire et script intersite ont été découverts et corrigés.

  • CVE-2013-2837

    Une vulnérabilité d’utilisation de mémoire après libération dans l’implémentation de SVG permet aux attaquants distants de provoquer un déni de service ou éventuellement d’autres conséquences par des moyens indéterminés.

  • CVE-2013-2838

    Google V8, tel qu’utilisé dans Chromium avant la version 27.0.1453.93, permet aux attaquants distants de provoquer un déni de service (lecture hors limites) par des moyens indéterminés.

  • CVE-2013-2839

    Chromium avant la version 27.0.1453.93 ne réalise pas correctement une invocation de variable indéterminée lors de traitement de données du presse-papier. Cela permet aux attaquants distants de provoquer un déni de service ou éventuellement d’autres conséquences par des moyens indéterminés.

  • CVE-2013-2840

    Une vulnérabilité d’utilisation de mémoire après libération dans le chargeur de média de Chromium avant la version 27.0.1453.93 permet aux attaquants distants de provoquer un déni de service ou éventuellement d’autres conséquences par des moyens indéterminés, une vulnérabilité différente de CVE-2013-2846.

  • CVE-2013-2841

    Une vulnérabilité d’utilisation de mémoire après libération dans Chromium avant la version 27.0.1453.93 permet aux attaquants distants de provoquer un déni de service ou éventuellement d’autres conséquences par des moyens indéterminés liés au traitement des ressources de Pepper.

  • CVE-2013-2842

    Une vulnérabilité d’utilisation de mémoire après libération dans Chromium avant la version 27.0.1453.93 permet aux attaquants distants de provoquer un déni de service ou éventuellement d’autres conséquences par des moyens indéterminés liés au traitement des widgets.

  • CVE-2013-2843

    Une vulnérabilité d’utilisation de mémoire après libération dans Chromium avant la version 27.0.1453.93 permet aux attaquants distants de provoquer un déni de service ou éventuellement d’autres conséquences par des moyens indéterminés liés au traitement des données vocales.

  • CVE-2013-2844

    Une vulnérabilité d’utilisation de mémoire après libération dans l’implémentation de feuilles de style en cascade (CSS) de Chromium avant la version 27.0.1453.93 permet aux attaquants distants de provoquer un déni de service ou éventuellement d’autres conséquences par des moyens indéterminés liés à la résolution de style.

  • CVE-2013-2845

    L’implémentation Web Audio de Chromium avant la version 27.0.1453.93 permet aux attaquants distants de provoquer un déni de service (corruption de mémoire) ou éventuellement d’autres conséquences par des moyens indéterminés.

  • CVE-2013-2846

    Une vulnérabilité d’utilisation de mémoire après libération dans le chargeur de média de Chromium avant la version 27.0.1453.93 permet aux attaquants distants de provoquer un déni de service ou éventuellement d’autres conséquences par des moyens indéterminés, une vulnérabilité différente de CVE-2013-2840.

  • CVE-2013-2847

    Une situation de compétition dans l’implémentation de workers de Chromium avant la version 27.0.1453.93 permet aux attaquants distants de provoquer un déni de service (utilisation de mémoire après libération et plantage d'application) ou éventuellement d’autres conséquences par des moyens indéterminés.

  • CVE-2013-2848

    Le contrôleur de script intersite de Chromium avant la version 27.0.1453.93 pourrait permettre aux attaquants distants d’obtenir des renseignements sensibles par des moyens indéterminés.

  • CVE-2013-2849

    Plusieurs vulnérabilités de script intersite (XSS) dans Chromium avant la version 27.0.1453.93 permettent aux attaquants distants d’injecter un script web ou du HTML arbitraires par des moyens indéterminés impliquant une opération de glissé et déposé ou de copié et collé.

Pour la distribution oldstable (Squeeze), la fenêtre de suivi en sécurité de Chromium est fermée. Les utilisateurs de Chromium sous oldstable sont très vivement invités à mettre à jour vers l’actuelle version stable de Debian (Wheezy). Le suivi en sécurité de Chromium pour Wheezy continuera jusqu’à la sortie de la prochaine version stable (Jessie), qui est prévue en 2015.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 27.0.1453.93-1~deb7u1.

Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 27.0.1453.93-1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.