Bulletin d'alerte Debian

DSA-3267-1 chromium-browser -- Mise à jour de sécurité

Date du rapport :
22 mai 2015
Paquets concernés :
chromium-browser
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-1251, CVE-2015-1252, CVE-2015-1253, CVE-2015-1254, CVE-2015-1255, CVE-2015-1256, CVE-2015-1257, CVE-2015-1258, CVE-2015-1259, CVE-2015-1260, CVE-2015-1261, CVE-2015-1262, CVE-2015-1263, CVE-2015-1264, CVE-2015-1265.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans navigateur web Chromium.

  • CVE-2015-1251

    SkyLined a découvert un problème d'utilisation de mémoire après libération dans la reconnaissance vocale.

  • CVE-2015-1252

    Un problème d'écriture hors limites a été découvert qui pourrait être utilisé pour une sortie du bac à sable de sécurité (« sandbox »).

  • CVE-2015-1253

    Un problème de contournement d'origine croisée a été découvert dans l'analyseur DOM.

  • CVE-2015-1254

    Un problème de contournement d'origine croisée a été découvert dans la fonctionnalité d'édition du DOM.

  • CVE-2015-1255

    Khalil Zhani a découvert un problème d'utilisation de mémoire après libération dans WebAudio.

  • CVE-2015-1256

    Atte Kettunen a découvert un problème d'utilisation de mémoire après libération dans l'implémentation de SVG.

  • CVE-2015-1257

    miaubiz a découvert un problème de débordement dans l'implémentation de SVG.

  • CVE-2015-1258

    cloudfuzzer a découvert l'utilisation d'un paramètre de taille incorrecte dans la bibliothèque libvpx.

  • CVE-2015-1259

    Atte Kettunen a découvert un problème de mémoire non initialisée dans la bibliothèque pdfium.

  • CVE-2015-1260

    Khalil Zhani a découvert de multiples problèmes d'utilisation de mémoire après libération dans l'interface de Chromium pour la bibliothèque WebRTC.

  • CVE-2015-1261

    Juho Nurminen a découvert un problème d'usurpation de la barre d'adresse.

  • CVE-2015-1262

    miaubiz a découvert l'utilisation d'un membre de classe non initialisé dans le traitement des polices.

  • CVE-2015-1263

    Mike Ruddy a découvert que le téléchargement du dictionnaire orthographique ne se faisait pas sur HTTPS.

  • CVE-2015-1264

    K0r3Ph1L a découvert un problème de script intersite qui pourrait être déclenché par l'ajout d'un site aux marque-pages.

  • CVE-2015-1265

    L'équipe de développement de chrome 43 a découvert et corrigé plusieurs problèmes lors d'un audit interne. Plusieurs problèmes ont aussi été corrigés dans la bibliothèque libv8, version 4.3.61.21.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 43.0.2357.65-1~deb8u1.

Pour la distribution testing (Stretch), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 43.0.2357.65-1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.