Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2706-1 chromium-browser

Debians sikkerhedsbulletin

DSA-2706-1 chromium-browser -- flere sårbarheder

Rapporteret den:

10. jun 2013

Berørte pakker:

chromium-browser

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-2855, CVE-2013-2856, CVE-2013-2857, CVE-2013-2858, CVE-2013-2859, CVE-2013-2860, CVE-2013-2861, CVE-2013-2862, CVE-2013-2863, CVE-2013-2865.

Yderligere oplysninger:

Flere sårbarheder er opdaget i webbrowseren Chromium.

• CVE-2013-2855

  Developer Tools-API'et i Chromium før version 27.0.1453.110 gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service: hukommelseskorruption) eller muligvis anden ikke-angivet indvirkning via ukendte angrebsvinkler.

• CVE-2013-2856

  En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.110, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden indvirkning via angrebsvinkler i forbindelse med håndtering af inddata.

• CVE-2013-2857

  En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.110, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler i forbindelse med håndtering af billeder.

• CVE-2013-2858

  En anvendelse efter frigivelse-sårbarhed i implementeringen af HTML5 Audio i Chromium før version 27.0.1453.110, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.

• CVE-2013-2859

  Chromium før version 27.0.1453.110, gjorde det muligt for fjernangribere at omgå Same Origin Policy samt udløse navnerumsforurening via ikke-angivne angrebsvinkler.

• CVE-2013-2860

  En anvendelse efter frigivelse-sårbarhed i Chromium før version 27.0.1453.110, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via angrebsvinkler, der involverer adgang til et database-API gennem en worker-proces.

• CVE-2013-2861

  En anvendelse efter frigivelse-sårbarhed i SVG-implementeringen i Chromium før version 27.0.1453.110, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.

• CVE-2013-2862

  Skia, som anvendt i Chromium før version 27.0.1453.110, håndterer ikke på korrekt via GPU-acceleration, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (hukommelseskorrouption) eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.

• CVE-2013-2863

  Chromium før version 27.0.1453.110, håndterede ikke på korrekt vis SSL-sockets, hvilket gjorde det muligt for fjernangribere at udføre vilkårlig kode eller forårsage et lammelsesangreb (hukommelseskorruption) via ikke-angivne angrebsvinkler.

• CVE-2013-2865

  Flere ikke-angivne sårbarheder i Chromium før version 27.0.1453.110, gjorde det muligt for angribere, at forårsage et lammelsesangreb eller muligvis have anden indvirkning via ukendte angrebsvinkler.

I den stabile distribution (wheezy), er disse problemer rettet i version 27.0.1453.110-1~deb7u1.

I distributionen testing (jessie), er disse problemer rettet i version 27.0.1453.110-1.

I den ustabile distribution (sid), er disse problemer rettet i version 27.0.1453.110-1.

Vi anbefaler at du opgraderer dine chromium-browser-pakker.