Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2706-1 chromium-browser

Bulletin d'alerte Debian

DSA-2706-1 chromium-browser -- Plusieurs vulnérabilités

Date du rapport :

10 juin 2013

Paquets concernés :

chromium-browser

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-2855, CVE-2013-2856, CVE-2013-2857, CVE-2013-2858, CVE-2013-2859, CVE-2013-2860, CVE-2013-2861, CVE-2013-2862, CVE-2013-2863, CVE-2013-2865.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium.

• CVE-2013-2855

  L’interface de programmation d’outils pour les développeurs de Chromium avant la version 27.0.1453.110 permet aux attaquants distants de provoquer un déni de service (corruption de mémoire) ou éventuellement avoir d’autres conséquences indéterminées par des moyens indéterminés.

• CVE-2013-2856

  Une vulnérabilité d’utilisation de mémoire après libération dans Chromium avant la version 27.0.1453.110 permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d’autres conséquences indéterminées par des moyens liés au traitement d’entrée.

• CVE-2013-2857

  Une vulnérabilité d’utilisation de mémoire après libération dans Chromium avant la version 27.0.1453.110 permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d’autres conséquences indéterminées par des moyens liés au traitement d’images.

• CVE-2013-2858

  Une vulnérabilité d’utilisation de mémoire après libération dans l’implémentation Audio HTML5 de Chromium avant la version 27.0.1453.110 permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d’autres conséquences indéterminées par des moyens indéterminés.

• CVE-2013-2859

  Chromium avant la version 27.0.1453.110 permet aux attaquants distants de contourner la politique de même origine et de déclencher une pollution de nom d’espace par des moyens indéterminés.

• CVE-2013-2860

  Une vulnérabilité d’utilisation de mémoire après libération dans Chromium avant la version 27.0.1453.110 permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d’autres conséquences indéterminées par des moyens impliquant l’accès à une interface de programmation de bases de données par un processus worker.

• CVE-2013-2861

  Une vulnérabilité d’utilisation de mémoire après libération dans l’implémentation de SVG de Chromium avant la version 27.0.1453.110 permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d’autres conséquences indéterminées par des moyens indéterminés.

• CVE-2013-2862

  Skia, tel qu’utilisé dans Chromium avant la version 27.0.1453.110, ne traite pas correctement l’accélération des processeurs graphiques. Cela permet aux attaquants distants de provoquer un déni de service (corruption de mémoire) ou éventuellement avoir d’autres conséquences indéterminées par des moyens indéterminés.

• CVE-2013-2863

  Chromium avant la version 27.0.1453.110 ne traite pas correctement les sockets SSL. Cela permet aux attaquants distants d’exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire) par des moyens indéterminés.

• CVE-2013-2865

  Plusieurs vulnérabilités indéterminées dans Chromium avant la version 27.0.1453.110 permettent aux attaquants distants de provoquer un déni de service ou éventuellement avoir d’autres conséquences par des moyens indéterminés.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 27.0.1453.110-1~deb7u1.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 27.0.1453.110-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 27.0.1453.110-1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.