Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3238-1 chromium-browser

Debians sikkerhedsbulletin

DSA-3238-1 chromium-browser -- sikkerhedsopdatering

Rapporteret den:

26. apr 2015

Berørte pakker:

chromium-browser

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-1235, CVE-2015-1236, CVE-2015-1237, CVE-2015-1238, CVE-2015-1240, CVE-2015-1241, CVE-2015-1242, CVE-2015-1244, CVE-2015-1245, CVE-2015-1246, CVE-2015-1247, CVE-2015-1248, CVE-2015-1249, CVE-2015-3333, CVE-2015-3334, CVE-2015-3336.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i webbrowseren chromium.

• CVE-2015-1235

  En problem med omgåelse af Same Origin Policy blev opdaget i HTML-fortolkeren.

• CVE-2015-1236

  Amitay Dobo opdagede en omgåelse af Same Origin Policy Web Audio-API'et.

• CVE-2015-1237

  Khalil Zhani opdagede et problem med anvendelse efter frigivelse i IPC.

• CVE-2015-1238

  cloudfuzzer opdagede en skrivning uden for grænserne i skia-biblioteket.

• CVE-2015-1240

  w3bd3vil opdagede en læsning uden for grænserne i WebGL-implementeringen.

• CVE-2015-1241

  Phillip Moon og Matt Weston opdagede en måde at fjernudløse lokale handlinger på brugergrænseflader via en fabrikeret hjemmeside.

• CVE-2015-1242

  Et typeforvekslingsproblem blev opdaget i v8-JavaScript-biblioteket.

• CVE-2015-1244

  Mike Ruddy opdagede en måde at omgå policy'en for HTTP Strict Transport Security.

• CVE-2015-1245

  Khalil Zhani opdagede et problem med anvendelse efter frigivelse i pdfium-biblioteket.

• CVE-2015-1246

  Atte Kettunen opdagede et problem med læsning uden for grænserne i webkit/blink.

• CVE-2015-1247

  Jann Horn opdagede at file:-URL'er i OpenSearch-dokumenter ikke blev fornuftighedskontrolleret, hvilket kunne gøre det muligt af fjernlæse lokale filer, når OpenSearch-funktionen blev anvendt fra en fabrikeret hjemmeside.

• CVE-2015-1248

  Vittorio Gambaletta opdagede en måde at omgå SafeBrowsing-funktionen på, hvilket kunne gøre det muligt at fjernudføre en downloadet ekskverbar fil.

• CVE-2015-1249

  Udviklingsholdet bag chrome 41 fandt forskellige problemer efter intern fuzzing, audits og andre granskninger.

• CVE-2015-3333

  Adskillige problemer med opdaget og rettet i v8 4.2.7.14.

• CVE-2015-3334

  Man opdagede at fjerne hjemmesider uden tilladelse kunne opsnappe videodata fra tilsluttede webkameraer.

• CVE-2015-3336

  Man opdagede at fjerne hjemmesider kunne udvirke forstyrrelser i den lokale brugergrænseflade, så som fuldskærmsvinduer eller læsning af musemarkøren.

I den stabile distribution (jessie), er disse problemer rettet i version 42.0.2311.90-1~deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), er disse problemer rettet i version 42.0.2311.90-1.

Vi anbefaler at du opgraderer dine chromium-browser-pakker.