Bulletin d'alerte Debian

DSA-2724-1 chromium-browser -- Plusieurs vulnérabilités

Date du rapport :
17 juillet 2013
Paquets concernés :
chromium-browser
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-2853, CVE-2013-2867, CVE-2013-2868, CVE-2013-2869, CVE-2013-2870, CVE-2013-2871, CVE-2013-2873, CVE-2013-2875, CVE-2013-2876, CVE-2013-2877, CVE-2013-2878, CVE-2013-2879, CVE-2013-2880.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium.

  • CVE-2013-2853

    L’implémentation de HTTPS n’assure pas que les en-têtes soient terminés par \r\n\r\n (retour chariot, changement de ligne, retour chariot, changement de ligne).

  • CVE-2013-2867

    Chrome n’empêche pas correctement d’ouvrir des fenêtres automatiquement sous la fenêtre actuelle.

  • CVE-2013-2868

    common/extensions/sync_helper.cc agit avec les opérations de synchronisation pour les extensions NPAPI sans vérifier le réglage de droits pour les greffons.

  • CVE-2013-2869

    Déni de service (lecture hors limites) à l'aide d'une image JPEG2000 contrefaite.

  • CVE-2013-2870

    Vulnérabilité d’utilisation de mémoire après utilisation dans les sockets réseau.

  • CVE-2013-2871

    Vulnérabilité d’utilisation de mémoire après utilisation dans le traitement d’entrée.

  • CVE-2013-2873

    Vulnérabilité d’utilisation de mémoire après utilisation dans le chargement de ressources.

  • CVE-2013-2875

    Lecture hors limites dans le traitement de fichier SVG.

  • CVE-2013-2876

    Chromium ne force pas correctement les restrictions sur la capture d’écran par les extensions, ce qui pourrait conduire à divulgation d'informations à partir des visites précédentes de page.

  • CVE-2013-2877

    Lecture hors limites dans le traitement de fichier XML.

  • CVE-2013-2878

    Lecture hors limites dans le traitement de fichier texte.

  • CVE-2013-2879

    Les circonstances dans lesquelles un processus de rendu peut être considéré comme un processus de confiance pour l’inscription et les opérations suivantes de synchronisation n’étaient pas correctement vérifiées.

  • CVE-2013-2880

    L’équipe de développement de Chromium 28 a trouvé plusieurs problèmes à partir de tests internes à données aléatoires, audits, et autres études.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 28.0.1500.71-1~deb7u1.

Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 28.0.1500.71-1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.