Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2192-1 chromium-browser

Bulletin d'alerte Debian

DSA-2192-1 chromium-browser -- Plusieurs vulnérabilités

Date du rapport :

15 mars 2011

Paquets concernés :

chromium-browser

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-0779, CVE-2011-1290.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur Chromium. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2011-0779

  Google Chrome avant la version 9.0.597.84 ne traite pas correctement une clef manquante dans une extension. Cela permet aux attaquants distants de provoquer un déni de service (plantage d'application) à l'aide d'une extension contrefaite.

• CVE-2011-1290

  Un débordement d'entier dans WebKit permet à des attaquants distants d'exécuter du code arbitraire à l'aide de moyens inconnus, comme cela a été montré par Vincenzo Iozzo, Willem Pinckaers et Ralf-Philipp Weinmann lors de la compétition Pwn2Own du CanSecWest 2011.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 6.0.472.63~r59945-5+squeeze4.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 10.0.648.133~r77742-1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.