Debians sikkerhedsbulletin

DSA-2724-1 chromium-browser -- flere sårbarheder

Rapporteret den:
17. jul 2013
Berørte pakker:
chromium-browser
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-2853, CVE-2013-2867, CVE-2013-2868, CVE-2013-2869, CVE-2013-2870, CVE-2013-2871, CVE-2013-2873, CVE-2013-2875, CVE-2013-2876, CVE-2013-2877, CVE-2013-2878, CVE-2013-2879, CVE-2013-2880.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i webbrowseren Chromium.

  • CVE-2013-2853

    Implementeringen af HTTPS sikrede ikke, at headerne afsluttes med \r\n\r\n (vognretur, nylinje, vognretur, nylinje).

  • CVE-2013-2867

    Chrome forhindrede ikke på korrekt vis pop-under-vinduer.

  • CVE-2013-2868

    common/extensions/sync_helper.cc fortsætter med synkroniseringshandlinger i NPAPI-udvidelser, uden at kontrollere opsætningen af en bestemt plugintilladelse.

  • CVE-2013-2869

    Lammelsesangreb (læsning uden for grænserne) via et fabrikeret JPEG2000-billede.

  • CVE-2013-2870

    Anvendelse efter frigivelse-sårbarhed i netværkssockets.

  • CVE-2013-2871

    Anvendelse efter frigivelse-sårbarhed i håndtering af inddata.

  • CVE-2013-2873

    Anvendelse efter frigivelse-sårbarhed i indlæsning af ressourcer.

  • CVE-2013-2875

    Læsning uden for grænserne i håndtering af SVG-filer.

  • CVE-2013-2876

    Chromium håndhæver ikke på korrekt vis begræsninger på udvidelsers optagelse af screenshots, hvilket kunne føre til informationsafsløring af tidligere sidebesøg.

  • CVE-2013-2877

    Læsning uden for grænserne i håndteringen af XML-filer.

  • CVE-2013-2878

    Læsning uden for grænserne i håndtering af tekst.

  • CVE-2013-2879

    Omstændighederne under hvilke en renderingsproces kan betragtes som en proces, der er tillid til vedrørende sign-in og efterfølgende synkroniseringshandlinger, blev ikke kontrolleret korrekt.

  • CVE-2013-2880

    Udviklingsholdet bag Chromium 28, fandt forskellige problemer i forbindelse med intern fuzzing, audit og andre gennemgange.

I den stabile distribution (wheezy), er disse problemer rettet i version 28.0.1500.71-1~deb7u1.

I distributionen testing (jessie), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 28.0.1500.71-1.

Vi anbefaler at du opgraderer dine chromium-browser-pakker.