Bulletin d'alerte Debian

DSA-3486-1 chromium-browser -- Mise à jour de sécurité

Date du rapport :
21 février 2016
Paquets concernés :
chromium-browser
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-1622, CVE-2016-1623, CVE-2016-1624, CVE-2016-1625, CVE-2016-1626, CVE-2016-1627, CVE-2016-1628, CVE-2016-1629.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium.

  • CVE-2016-1622

    Une extension contrefaite malveillante pourrait contourner la politique de même origine (Same Origin Policy).

  • CVE-2016-1623

    Mariusz Mlynski a découvert un moyen de contourner la politique de même origine.

  • CVE-2016-1624

    Lukezli a découvert un problème de dépassement de tampon dans la bibliothèque Brotli.

  • CVE-2016-1625

    Jann Horn a découvert un moyen de faire naviguer la fonction Chrome Instant vers des destinations non prévues.

  • CVE-2016-1626

    Un problème de lecture hors limites a été découvert dans la bibliothèque openjpeg.

  • CVE-2016-1627

    Les outils de développement ne validaient pas les URL.

  • CVE-2016-1628

    Un problème de lecture hors limites a été découvert dans la bibliothèque pdfium.

  • CVE-2016-1629

    Un moyen de contourner la politique de même origine a été découvert dans Blink/WebKit, ainsi qu'un moyen de sortir du bac à sable (sandbox) de chromium.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 48.0.2564.116-1~deb8u1.

Pour la distribution testing (Stretch), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 48.0.2564.116-1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.