Säkerhetsbulletin från Debian

DSA-3315-1 chromium-browser -- säkerhetsuppdatering

Rapporterat den:
2015-07-23
Berörda paket:
chromium-browser
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-1266, CVE-2015-1267, CVE-2015-1268, CVE-2015-1269, CVE-2015-1270, CVE-2015-1271, CVE-2015-1272, CVE-2015-1273, CVE-2015-1274, CVE-2015-1276, CVE-2015-1277, CVE-2015-1278, CVE-2015-1279, CVE-2015-1280, CVE-2015-1281, CVE-2015-1282, CVE-2015-1283, CVE-2015-1284, CVE-2015-1285, CVE-2015-1286, CVE-2015-1287, CVE-2015-1288, CVE-2015-1289.
Ytterligare information:

Flera sårbarheter har upptäckts i webbläsaren chromium.

  • CVE-2015-1266

    Avsedda åtkomstrestriktioner kunde förbigås för vissa URLer som chrome://gpu.

  • CVE-2015-1267

    Ett sätt att förbigå Same Origin Policy upptäcktes.

  • CVE-2015-1268

    Även Mariusz Mlynski upptäckte ett sätt att förbigå Same Origin Policy.

  • CVE-2015-1269

    Mike Rudy upptäckte att värdnamn inte jämfördes ordentligt i HTTP Strict Transport Policy och HTTP Public Key Pinning-funktionerna, vilket kunde tillåta dessa åtkomstrestriktioner att förbigås.

  • CVE-2015-1270

    Atte Kettunen upptäckte en läsning av oinitierat minne i biblioteket ICU.

  • CVE-2015-1271

    cloudfuzzer upptäckte ett buffertspill i biblioteket pdfium.

  • CVE-2015-1272

    Chamal de Silva upptäckte kapplöpningseffekter i GPU-behandlingsimplementationen.

  • CVE-2015-1273

    makosoft upptäckte ett buffertspill i openjpeg, som används av pdfium-biblioteket som är inbäddat i chromium.

  • CVE-2015-1274

    andrewm.bpi upptäckte att auto-open-listan tillät vissa filtyper att köras direkt efter nedladdning.

  • CVE-2015-1276

    Colin Payne upptäckte ett användning efter frigörningsproblem i implementationen av IndexedDB.

  • CVE-2015-1277

    SkyLined upptäcte ett användning efter frigörningsproblem i chromium's tillgänglighetsimplementation.

  • CVE-2015-1278

    Chamal de Silva upptäckte att använda PDF-dokument för att förfalska en URL.

  • CVE-2015-1279

    mlafon upptäckte ett buffertspill i pdfium-biblioteket.

  • CVE-2015-1280

    cloudfuzzer upptäckte ett minneskorruptionsproblem i SKIA-biblioteket.

  • CVE-2015-1281

    Masato Knugawa upptäckte ett sätt att förbigå Content Security Policy.

  • CVE-2015-1282

    Chamal de Silva upptäckte flera användning efter frigörningsproblem i biblioteket pdfium.

  • CVE-2015-1283

    Huzaifa Sidhpurwala upptäckte ett buffertspill i biblioteket expat.

  • CVE-2015-1284

    Atte Kettunen upptäckte att maximalt antal av sidramar i kontrollerades ordentligt.

  • CVE-2015-1285

    gazheyes upptäckte ett informationsläckage i XSS-granskaren, som normalt hjälper att förhindra vissa klasser av sajtöverskridande skriptproblem.

  • CVE-2015-1286

    Ett sajtöverskridande skriptproblem har upptäckts i gränssnittet till javascriptbiblioteket v8.

  • CVE-2015-1287

    filedescriptor upptäckte ett sätt att förbigå Same Origin Policy.

  • CVE-2015-1288

    Mike Ruddy upptäckte att ordlistorna för stavningskontrollen fortfarande kunde hämtas över ren HTTP (relaterat till CVE-2015-1263).

  • CVE-2015-1289

    Utvecklingsgruppen bakom Chrome 44 hittade och rättade olika problem under intern granskning.

Utöver de ovanstående problemen inaktiverade Google tilläggsmodulen hotword som standard i denna version, som kunde hämta filer utan användarens inblandning.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 44.0.2403.89-1~deb8u1.

För uttestningsutgåvan (Stretch) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 44.0.2403.89-1.

Vi rekommenderar att ni uppgraderar era chromium-browser-paket.