Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3238-1 chromium-browser

Bulletin d'alerte Debian

DSA-3238-1 chromium-browser -- Mise à jour de sécurité

Date du rapport :

26 avril 2015

Paquets concernés :

chromium-browser

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-1235, CVE-2015-1236, CVE-2015-1237, CVE-2015-1238, CVE-2015-1240, CVE-2015-1241, CVE-2015-1242, CVE-2015-1244, CVE-2015-1245, CVE-2015-1246, CVE-2015-1247, CVE-2015-1248, CVE-2015-1249, CVE-2015-3333, CVE-2015-3334, CVE-2015-3336.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web chromium.

• CVE-2015-1235

  Un problème de contournement de la politique de même origine a été découvert dans l'analyseur HTML.

• CVE-2015-1236

  Amitay Dobo a découvert un contournement de la politique de même origine dans l'API Web Audio.

• CVE-2015-1237

  Khalil Zhani a découvert un problème d'utilisation de mémoire après libération dans IPC.

• CVE-2015-1238

  cloudfuzzer a découvert une écriture hors limites dans la bibliothèque skia.

• CVE-2015-1240

  w3bd3vil a découvert une lecture hors limites dans l'implémentation de WebGL.

• CVE-2015-1241

  Phillip Moon et Matt Weston ont découvert un moyen de déclencher à distance des actions dans l'interface d'un utilisateur local à l'aide d'un site web contrefait.

• CVE-2015-1242

  Un problème de confusion de type a été découvert la bibliothèque JavaScript  v8.

• CVE-2015-1244

  Mike Ruddy a découvert un moyen de contourner la politique de sécurité de transport HTTP strict.

• CVE-2015-1245

  Khalil Zhani a découvert un problème d'utilisation de mémoire après libération dans la bibliothèque pdfium.

• CVE-2015-1246

  Atte Kettunen a découvert un problème de lecture hors limites dans webkit/blink.

• CVE-2015-1247

  Jann Horn a découvert que les URL file: dans les documents OpenSearch n'étaient pas nettoyés, ce qui pourrait permettre de lire à distance des fichiers locaux quand OpenSearch est utilisé sur un site web contrefait.

• CVE-2015-1248

  Vittorio Gambaletta a découvert un moyen de contourner la fonctionnalité SafeBrowsing, ce qui pourrait permettre d'exécuter à distance un fichier exécutable téléchargé.

• CVE-2015-1249

  L'équipe de développement de chrome 41 a découvert divers problèmes à partir de tests internes à données aléatoires, audits et autres études.

• CVE-2015-3333

  Plusieurs problèmes ont été découverts et corrigés dans v8 4.2.7.14.

• CVE-2015-3334

  Des sites web distants pourraient capturer sans permission des données vidéo à partir de webcams attachées.

• CVE-2015-3336

  Des sites web distants pourraient causer des perturbations de l'interface utilisateur comme le passage en plein écran ou le verrouillage du pointeur de la souris.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 42.0.2311.90-1~deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 42.0.2311.90-1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.