Debian セキュリティ勧告

DSA-2883-1 chromium-browser -- セキュリティ更新

報告日時:
2014-03-23
影響を受けるパッケージ:
chromium-browser
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-6653, CVE-2013-6654, CVE-2013-6655, CVE-2013-6656, CVE-2013-6657, CVE-2013-6658, CVE-2013-6659, CVE-2013-6660, CVE-2013-6661, CVE-2013-6663, CVE-2013-6664, CVE-2013-6665, CVE-2013-6666, CVE-2013-6667, CVE-2013-6668, CVE-2014-1700, CVE-2014-1701, CVE-2014-1702, CVE-2014-1703, CVE-2014-1704, CVE-2014-1705, CVE-2014-1713, CVE-2014-1715.
詳細:

複数の欠陥が chromium ウェブブラウザに発見されました。

  • CVE-2013-6653

    Khalil Zhani さんが chromium のウェブコンテントの ColorChooser 処理ルーチンにメモリの開放後利用の問題を発見しました。

  • CVE-2013-6654

    TheShow3511 さんが SVG 処理に問題を発見しました。

  • CVE-2013-6655

    cloudfuzzer さんが DOM イベント処理にメモリの開放後利用の問題を発見しました。

  • CVE-2013-6656

    NeexEmil さんが XSS 監査ルーチンに情報漏洩を発見しました。

  • CVE-2013-6657

    NeexEmil さんが XSS 監査ルーチンに Same Origin Policy の迂回を発見しました。

  • CVE-2013-6658

    cloudfuzzer さんが、updateWidgetPositions 関数周辺にメモリの開放後利用の問題を複数発見しました。

  • CVE-2013-6659

    Antoine Delignat-Lavaud さんと Karthikeyan Bhargavan さんが、TLS の再ネゴシエーション中に予期しない証明書のチェインを引き起こすことが 可能であることを発見しました。

  • CVE-2013-6660

    bishopjeffreys さんがドラッグアンドドロップの実装に情報漏洩を発見しました。

  • CVE-2013-6661

    Google Chrome チームが、バージョン 33.0.1750.117 の複数の問題を発見修正しました。

  • CVE-2013-6663

    Atte Kettunen さんが SVG 処理にメモリの開放後利用問題を発見しました。

  • CVE-2013-6664

    Khalil Zhani さんが音声認識機能にメモリの開放後利用の問題を発見しました。

  • CVE-2013-6665

    cloudfuzzer さんがソフトウェア描画処理にバッファオーバーフローの問題を発見しました。

  • CVE-2013-6666

    netfuzzer さんが Pepper Flash プラグインに制限の迂回を発見しました。

  • CVE-2013-6667

    Google Chrome チームがバージョン 33.0.1750.146 の複数の問題を発見修正しました。

  • CVE-2013-6668

    V8 javascript ライブラリのバージョン 3.24.35.10 の複数の脆弱性が修正されています。

  • CVE-2014-1700

    Chamal de Silva さんが音声合成にメモリの開放後利用の問題を発見しました。

  • CVE-2014-1701

    aidanhs さんがイベント処理にクロスサイトスクリプティングの問題を発見しました。

  • CVE-2014-1702

    Colin Payne さんがウェブデータベースの実装にメモリの開放後利用の問題を発見しました。

  • CVE-2014-1703

    VUPEN さんがウェブソケットにメモリの開放後利用の問題を発見しました。 サンドボックスのエスケープにつながる可能性があります。

  • CVE-2014-1704

    V8 javascript ライブラリのバージョン 3.23.17.18 の複数の脆弱性が修正されています。

  • CVE-2014-1705

    メモリ破壊の問題が V8 javascript ライブラリに発見されました。

  • CVE-2014-1713

    メモリの開放後利用の問題が AttributeSetter 関数に発見されました。

  • CVE-2014-1715

    ディレクトリトラバーサルの問題が発見、修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 33.0.1750.152-1~deb7u1 で修正されています。

テスト版 (testing) ディストリビューション (jessie) ではこの問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 33.0.1750.152-1 で修正されています。

直ちに chromium-browser パッケージをアップグレードすることを勧めます。