Информация по безопасности / 2015 / Информация о безопасности -- DSA-3267-1 chromium-browser

Рекомендация Debian по безопасности

DSA-3267-1 chromium-browser -- обновление безопасности

Дата сообщения:

22.05.2015

Затронутые пакеты:

chromium-browser

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-1251, CVE-2015-1252, CVE-2015-1253, CVE-2015-1254, CVE-2015-1255, CVE-2015-1256, CVE-2015-1257, CVE-2015-1258, CVE-2015-1259, CVE-2015-1260, CVE-2015-1261, CVE-2015-1262, CVE-2015-1263, CVE-2015-1264, CVE-2015-1265.

Более подробная информация:

В веб-браузере chromium было обнаружено несколько уязвимостей.

• CVE-2015-1251

  SkyLined обнаружил использование указателей после освобождения памяти в коде для распознавания речи.

• CVE-2015-1252

  Была обнаружена ошибка записи за пределами массива, которая может использоваться для выхода из песочницы.

• CVE-2015-1253

  Была обнаружена возможность обхода проверки совместного использования источников в коде для грамматического разбора DOM.

• CVE-2015-1254

  Было обнаружена возможность обхода проверки совместного использования источников в коде редактирования DOM.

• CVE-2015-1255

  Халил Зани обнаружил использование указателей после освобождения памяти в WebAudio.

• CVE-2015-1256

  Атте Кеттунен обнаружил использование указателей после освобождения памяти в реализации SVG.

• CVE-2015-1257

  miaubiz обнаружил переполнение в реализации SVG.

• CVE-2015-1258

  cloudfuzzer обнаружил использование параметра некорректного размера в библиотеке libvpx.

• CVE-2015-1259

  Атте Кеттунен обнаружил проблему с неинициализированной памятью в библиотеке pdfium.

• CVE-2015-1260

  Халил Зани обнаружил многочисленные использования указателей после освобождения памяти в интерфейсе chromium для библиотеки WebRTC.

• CVE-2015-1261

  Юхо Нурминен обнаружил проблему с подделкой строки URL.

• CVE-2015-1262

  miaubiz обнаружил использование неинициализированного члена класса в коде для обработки шрифтов.

• CVE-2015-1263

  Майк Руди обнаружил, что загрузка словаря для проверки правописания не выполняется по HTTPS.

• CVE-2015-1264

  K0r3Ph1L обнаружил проблему с межсайтовым скриптингом, которая может проявиться при добавлении сайта в закладки.

• CVE-2015-1265

  Команда разработки chrome 43 обнаружила и исправила различные проблемы в ходе внутреннего аудита. Кроме того, многочисленные проблемы были исправлены в библиотеке libv8 версии 4.3.61.21.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 43.0.2357.65-1~deb8u1.

В тестируемом выпуске (stretch) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 43.0.2357.65-1.

Рекомендуется обновить пакеты chromium-browser.