Säkerhetsbulletin från Debian
DSA-3315-1 chromium-browser -- säkerhetsuppdatering
- Rapporterat den:
- 2015-07-23
- Berörda paket:
- chromium-browser
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-1266, CVE-2015-1267, CVE-2015-1268, CVE-2015-1269, CVE-2015-1270, CVE-2015-1271, CVE-2015-1272, CVE-2015-1273, CVE-2015-1274, CVE-2015-1276, CVE-2015-1277, CVE-2015-1278, CVE-2015-1279, CVE-2015-1280, CVE-2015-1281, CVE-2015-1282, CVE-2015-1283, CVE-2015-1284, CVE-2015-1285, CVE-2015-1286, CVE-2015-1287, CVE-2015-1288, CVE-2015-1289.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i webbläsaren chromium.
- CVE-2015-1266
Avsedda åtkomstrestriktioner kunde förbigås för vissa URLer som chrome://gpu.
- CVE-2015-1267
Ett sätt att förbigå Same Origin Policy upptäcktes.
- CVE-2015-1268
Även Mariusz Mlynski upptäckte ett sätt att förbigå Same Origin Policy.
- CVE-2015-1269
Mike Rudy upptäckte att värdnamn inte jämfördes ordentligt i HTTP Strict Transport Policy och HTTP Public Key Pinning-funktionerna, vilket kunde tillåta dessa åtkomstrestriktioner att förbigås.
- CVE-2015-1270
Atte Kettunen upptäckte en läsning av oinitierat minne i biblioteket ICU.
- CVE-2015-1271
cloudfuzzer upptäckte ett buffertspill i biblioteket pdfium.
- CVE-2015-1272
Chamal de Silva upptäckte kapplöpningseffekter i GPU-behandlingsimplementationen.
- CVE-2015-1273
makosoft upptäckte ett buffertspill i openjpeg, som används av pdfium-biblioteket som är inbäddat i chromium.
- CVE-2015-1274
andrewm.bpi upptäckte att auto-open-listan tillät vissa filtyper att köras direkt efter nedladdning.
- CVE-2015-1276
Colin Payne upptäckte ett användning efter frigörningsproblem i implementationen av IndexedDB.
- CVE-2015-1277
SkyLined upptäcte ett användning efter frigörningsproblem i chromium's tillgänglighetsimplementation.
- CVE-2015-1278
Chamal de Silva upptäckte att använda PDF-dokument för att förfalska en URL.
- CVE-2015-1279
mlafon upptäckte ett buffertspill i pdfium-biblioteket.
- CVE-2015-1280
cloudfuzzer upptäckte ett minneskorruptionsproblem i SKIA-biblioteket.
- CVE-2015-1281
Masato Knugawa upptäckte ett sätt att förbigå Content Security Policy.
- CVE-2015-1282
Chamal de Silva upptäckte flera användning efter frigörningsproblem i biblioteket pdfium.
- CVE-2015-1283
Huzaifa Sidhpurwala upptäckte ett buffertspill i biblioteket expat.
- CVE-2015-1284
Atte Kettunen upptäckte att maximalt antal av sidramar i kontrollerades ordentligt.
- CVE-2015-1285
gazheyes upptäckte ett informationsläckage i XSS-granskaren, som normalt hjälper att förhindra vissa klasser av sajtöverskridande skriptproblem.
- CVE-2015-1286
Ett sajtöverskridande skriptproblem har upptäckts i gränssnittet till javascriptbiblioteket v8.
- CVE-2015-1287
filedescriptor upptäckte ett sätt att förbigå Same Origin Policy.
- CVE-2015-1288
Mike Ruddy upptäckte att ordlistorna för stavningskontrollen fortfarande kunde hämtas över ren HTTP (relaterat till CVE-2015-1263).
- CVE-2015-1289
Utvecklingsgruppen bakom Chrome 44 hittade och rättade olika problem under intern granskning.
Utöver de ovanstående problemen inaktiverade Google tilläggsmodulen hotword som standard i denna version, som kunde hämta filer utan användarens inblandning.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 44.0.2403.89-1~deb8u1.
För uttestningsutgåvan (Stretch) kommer dessa problem att rättas inom kort.
För den instabila utgåvan (Sid) har dessa problem rättats i version 44.0.2403.89-1.
Vi rekommenderar att ni uppgraderar era chromium-browser-paket.
- CVE-2015-1266