Информация по безопасности / 2017 / Информация о безопасности -- DSA-3776-1 chromium-browser

Рекомендация Debian по безопасности

DSA-3776-1 chromium-browser -- обновление безопасности

Дата сообщения:

31.01.2017

Затронутые пакеты:

chromium-browser

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-5006, CVE-2017-5007, CVE-2017-5008, CVE-2017-5009, CVE-2017-5010, CVE-2017-5011, CVE-2017-5012, CVE-2017-5013, CVE-2017-5014, CVE-2017-5015, CVE-2017-5016, CVE-2017-5017, CVE-2017-5018, CVE-2017-5019, CVE-2017-5020, CVE-2017-5021, CVE-2017-5022, CVE-2017-5023, CVE-2017-5024, CVE-2017-5025, CVE-2017-5026.

Более подробная информация:

В веб-браузере chromium было обнаружено несколько уязвимостей.

• CVE-2017-5006

  Мариуш Млинский обнаружил межсайтовый скриптинг.

• CVE-2017-5007

  Мариуш Млинский обнаружил ещё один случай межсайтового скриптинга.

• CVE-2017-5008

  Мариуш Млинский обнаружил ещё третий случай межсайтового скриптинга.

• CVE-2017-5009

  Шон Станек и Чип Брэдфорд обнаружили проблему с доступом за пределы выделенного буфера памяти в библиотеке webrtc.

• CVE-2017-5010

  Мариуш Млинский обнаружил ещё четвёртый случай межсайтового скриптинга.

• CVE-2017-5011

  Халил Зани обнаружил способ получения доступа к неавторизованным файлам в инструментах разработчика.

• CVE-2017-5012

  Гергей Наги обнаружил переполнение динамической памяти в javascript-библиотеке v8.

• CVE-2017-5013

  Хаошэн Ван обнаружил возможность подделать URL.

• CVE-2017-5014

  sweetchip обнаружил переполнение динамической памяти в библиотеке skia.

• CVE-2017-5015

  Армин Размджу обнаружил возможность подделать URL.

• CVE-2017-5016

  Хаошэн Ван обнаружил ещё одну возможность подделать URL.

• CVE-2017-5017

  danberm обнаружил проблему с неинициализированной памятью в поддержке видеофайлов в формате webm.

• CVE-2017-5018

  Роб Ву обнаружил межсайтовый скриптинг.

• CVE-2017-5019

  Вади Матар обнаружил использование указателей после освобождения памяти.

• CVE-2017-5020

  Роб Ву обнаружил ещё один межсайтовый скриптинг.

• CVE-2017-5021

  Роб Ву обнаружил использование указателей после освобождения памяти в расширениях.

• CVE-2017-5022

  Члены команды PKAV обнаружили способ обхода правила безопасности содержимого.

• CVE-2017-5023

  Сотрудники Национального центра кибербезопасность (NCSC) Великобритании обнаружили путаницу типов.

• CVE-2017-5024

  Пол Мета обнаружил переполнение динамической памяти в библиотеке ffmpeg.

• CVE-2017-5025

  Пол Мета обнаружил ещё одно переполнение динамической памяти в библиотеке ffmpeg.

• CVE-2017-5026

  Ронни Скансинг обнаружил возможность подделки пользовательского интерфейса.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 56.0.2924.76-1~deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты chromium-browser.