Debians sikkerhedsbulletin
DSA-2695-1 chromium-browser -- flere problemer
- Rapporteret den:
- 29. maj 2013
- Berørte pakker:
- chromium-browser
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-2837, CVE-2013-2838, CVE-2013-2839, CVE-2013-2840, CVE-2013-2841, CVE-2013-2842, CVE-2013-2843, CVE-2013-2844, CVE-2013-2845, CVE-2013-2846, CVE-2013-2847, CVE-2013-2848, CVE-2013-2849.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i webbrowseren Chromium. Flere sårbarheder i forbindelse med anvendelse efter frigivelse, læsning uden for grænserne, hukommelsessikkerhed og udførelse af skripter på tværs af websteder, blev opdaget og rettet.
- CVE-2013-2837
En anvendelse efter frigivelse-sårbarhed i SVG-implementeringen, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service) eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.
- CVE-2013-2838
Google V8, som anvendes i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (læsning uden for grænserne) via ikke-angivne angrebsvinkler.
- CVE-2013-2839
Chromium før version 27.0.1453.93 udførte ikke på korrekt vis en cast of en ikke-angivet variabel under håndtering af klippebordsdata, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangerb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.
- CVE-2013-2840
En anvendelse efter frigivelse-sårbarhed i Chromiums medieindlæser i versioner før 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler; det er en anden sårbarhed end CVE-2013-2846.
- CVE-2013-2841
En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af Pepper-ressourcer.
- CVE-2013-2842
En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af widgets.
- CVE-2013-2843
En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af taledata.
- CVE-2013-2844
En anvendelse efter frigivelse-sårbarhed i implementeringen af Cascading Style Sheets (CSS) i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med styleresolution.
- CVE-2013-2845
Implementeringen af Web Audio i Chromium før version 27.0.1453.93, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (hukommelseskorruption) eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.
- CVE-2013-2846
En anvendelse efter frigivelse-sårbarhed i mediaindlæseren i Chromium før version 27.0.1453.93, gjordet det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler; det er en anden sårbarhed end CVE-2013-2840.
- CVE-2013-2847
En kapløbstilstand i workers-implementeringen i Chromium før version 27.0.1453.93, gjordet det muligt for fjernangribere at forårsage et lammelsesangreb (anvendelse efter frigivelse eller applikationsnedbrud) eller muligvis anden ikke-angivet indvirkning via ukendte angrebsvinkler.
- CVE-2013-2848
XSS Auditor i Chromium før version 27.0.1453.93, gjorde det måske muligt for fjernangribere at få fat i følsomme oplysninger via ikke-angivne angrebsvinkler.
- CVE-2013-2849
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i Chromium før version 27.0.1453.93, gjordet det muligt for brugerhjulpne fjernangribere at indsprøjte vilkårligt webskript eller HTML via angrebsvinkler med relation til (1) træk og slip- eller (2) kopier og indsæt-handlinger.
I den gamle stabile distribution (squeeze), er tidsrummet med sikkerhedsunderstøttelse af Chromium udløbet. Brugere af Chromium i den gamle stabile distribution, opfordres derfor meget kraftigt til at opgradere til den aktuelle stabile Debian-udgave (wheezy). Sikkerhedsunderstøttelse af Chromium i wheezy fortsætter indtil den næste stabile udgave (jessie), som forventes en gang i løbet af 2015.
I den stabile distribution (wheezy), er disse problemer rettet i version 27.0.1453.93-1~deb7u1.
I distributionen testing (jessie), vil disse problemer snart blive rettet.
I den ustabile distribution (sid), er disse problemer rettet i version 27.0.1453.93-1.
Vi anbefaler at du opgraderer dine chromium-browser-pakker.
- CVE-2013-2837