Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3315-1 chromium-browser

Debians sikkerhedsbulletin

DSA-3315-1 chromium-browser -- sikkerhedsopdatering

Rapporteret den:

23. jul 2015

Berørte pakker:

chromium-browser

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-1266, CVE-2015-1267, CVE-2015-1268, CVE-2015-1269, CVE-2015-1270, CVE-2015-1271, CVE-2015-1272, CVE-2015-1273, CVE-2015-1274, CVE-2015-1276, CVE-2015-1277, CVE-2015-1278, CVE-2015-1279, CVE-2015-1280, CVE-2015-1281, CVE-2015-1282, CVE-2015-1283, CVE-2015-1284, CVE-2015-1285, CVE-2015-1286, CVE-2015-1287, CVE-2015-1288, CVE-2015-1289.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i webbrowseren chromium.

• CVE-2015-1266

  Tilsigtede adgangsbegrænsinger kunne omgås ved visse URL'er så som chrome://gpu.

• CVE-2015-1267

  Der blev opdaget en måde at omgå Same Origin Policy på.

• CVE-2015-1268

  Mariusz Mlynski opdagede også en måde at omgå Same Origin Policy.

• CVE-2015-1269

  Mike Rudy opdagede at værtsnavne ikke på korrekt vis blev sammenlignet i funktionerne HTTP Strict Transport Policy og HTTP Public Key Pinning, hvilket kunne gøre det muligt at omgå disse adgangsbegrænsninger.

• CVE-2015-1270

  Atte Kettunen opdagede at læsning i ICU-biblioteket af uinitialiseret hukommelse.

• CVE-2015-1271

  cloudfuzzer opdagede et bufferoverløb i pdfium-biblioteket.

• CVE-2015-1272

  Chamal de Silva opdagde kapløbstilstande i implementeringen af GPU-processen.

• CVE-2015-1273

  makosoft opdagede et bufferoverløb i openjpeg, som anvendes af pdfium-biblioteket, der er indlejret i chromium.

• CVE-2015-1274

  andrewm.bpi opdagede at autoåbningslisten tillod at visse filtyper kunne udføres med det samme efter download.

• CVE-2015-1276

  Colin Payne opdagede et problem med anvendelse efter frigivelse i implementeringen af IndexedDB.

• CVE-2015-1277

  SkyLined opdagede et problem med anvendelse efter frigivelse i chromiums tilgængelighedsimplementering.

• CVE-2015-1278

  Chamal de Silva opdagede en måde at anvende PDF-dokumenter til at forfalske en URL.

• CVE-2015-1279

  mlafon opdagede et bufferoverløb i pdfium-biblioteket.

• CVE-2015-1280

  cloudfuzzer opdagede hukommelseskorruptionsproblemer i SKIA-biblioteket.

• CVE-2015-1281

  Masato Knugawa opdagede en måde at omgå Content Security Policy på.

• CVE-2015-1282

  Chamal de Silva adskillige problemer med anvendelse efter frigivelse i pdfium-biblioteket.

• CVE-2015-1283

  Huzaifa Sidhpurwala opdagede et bufferoverløb i expat-biblioteket.

• CVE-2015-1284

  Atte Kettunen opdagede at det maksimale antal sideframes ikke blev kontrolleret på korrekt vis.

• CVE-2015-1285

  gazheyes opdagede en informationslækage i XSS-auditoren, hvilket normalt hjælper med til at forhindre visse former for problemer med udførelse af skripter på tværs af websteder.

• CVE-2015-1286

  Et problem med udførelse af skripter på tværs af websteder blev opdaget i grænsefladen til v8-javascriptbiblioteket.

• CVE-2015-1287

  filedescriptor opdagede en måde at omgå Same Origin Policy på.

• CVE-2015-1288

  Mike Ruddy opdagede at stavekontrolsordbøgerne stadig kunne downloades over almindelig HTTP (relateret til CVE-2015-1263).

• CVE-2015-1289

  Chrome 44-udviklingsholdet fandt og rettede forskellige problemer under intern kodegennemgang.

Ud over de oven for nævnte problemer, har Google som standard deaktiveret hotword-udvidelsen i denne version, som hvis aktiveret downloader filer uden brugerens indblanding.

I den stabile distribution (jessie), er disse problemer rettet i version 44.0.2403.89-1~deb8u1.

I distributionen testing (stretch), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 44.0.2403.89-1.

Vi anbefaler at du opgraderer dine chromium-browser-pakker.