Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2695-1 chromium-browser

Debians sikkerhedsbulletin

DSA-2695-1 chromium-browser -- flere problemer

Rapporteret den:

29. maj 2013

Berørte pakker:

chromium-browser

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-2837, CVE-2013-2838, CVE-2013-2839, CVE-2013-2840, CVE-2013-2841, CVE-2013-2842, CVE-2013-2843, CVE-2013-2844, CVE-2013-2845, CVE-2013-2846, CVE-2013-2847, CVE-2013-2848, CVE-2013-2849.

Yderligere oplysninger:

Flere sårbarheder er opdaget i webbrowseren Chromium. Flere sårbarheder i forbindelse med anvendelse efter frigivelse, læsning uden for grænserne, hukommelsessikkerhed og udførelse af skripter på tværs af websteder, blev opdaget og rettet.

• CVE-2013-2837

  En anvendelse efter frigivelse-sårbarhed i SVG-implementeringen, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service) eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.

• CVE-2013-2838

  Google V8, som anvendes i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (læsning uden for grænserne) via ikke-angivne angrebsvinkler.

• CVE-2013-2839

  Chromium før version 27.0.1453.93 udførte ikke på korrekt vis en cast of en ikke-angivet variabel under håndtering af klippebordsdata, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangerb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.

• CVE-2013-2840

  En anvendelse efter frigivelse-sårbarhed i Chromiums medieindlæser i versioner før 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler; det er en anden sårbarhed end CVE-2013-2846.

• CVE-2013-2841

  En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af Pepper-ressourcer.

• CVE-2013-2842

  En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af widgets.

• CVE-2013-2843

  En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af taledata.

• CVE-2013-2844

  En anvendelse efter frigivelse-sårbarhed i implementeringen af Cascading Style Sheets (CSS) i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med styleresolution.

• CVE-2013-2845

  Implementeringen af Web Audio i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (hukommelseskorruption) eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.

• CVE-2013-2846

  En anvendelse efter frigivelse-sårbarhed i mediaindlæseren i Chromium før version 27.0.1453.93, gjordet det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler; det er en anden sårbarhed end CVE-2013-2840.

• CVE-2013-2847

  En kapløbstilstand i workers-implementeringen i Chromium før version 27.0.1453.93, gjordet det muligt for fjernangribere at forårsage et lammelsesangreb (anvendelse efter frigivelse eller applikationsnedbrud) eller muligvis anden ikke-angivet indvirkning via ukendte angrebsvinkler.

• CVE-2013-2848

  XSS Auditor i Chromium før version 27.0.1453.93, gjorde det måske muligt for fjernangribere at få fat i følsomme oplysninger via ikke-angivne angrebsvinkler.

• CVE-2013-2849

  Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i Chromium før version 27.0.1453.93, gjordet det muligt for brugerhjulpne fjernangribere at indsprøjte vilkårligt webskript eller HTML via angrebsvinkler med relation til (1) træk og slip- eller (2) kopier og indsæt-handlinger.

I den gamle stabile distribution (squeeze), er tidsrummet med sikkerhedsunderstøttelse af Chromium udløbet. Brugere af Chromium i den gamle stabile distribution, opfordres derfor meget kraftigt til at opgradere til den aktuelle stabile Debian-udgave (wheezy). Sikkerhedsunderstøttelse af Chromium i wheezy fortsætter indtil den næste stabile udgave (jessie), som forventes en gang i løbet af 2015.

I den stabile distribution (wheezy), er disse problemer rettet i version 27.0.1453.93-1~deb7u1.

I distributionen testing (jessie), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 27.0.1453.93-1.

Vi anbefaler at du opgraderer dine chromium-browser-pakker.