Debians sikkerhedsbulletin

DSA-4020-1 chromium-browser -- sikkerhedsopdatering

Rapporteret den:
5. nov 2017
Berørte pakker:
chromium-browser
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-5124, CVE-2017-5125, CVE-2017-5126, CVE-2017-5127, CVE-2017-5128, CVE-2017-5129, CVE-2017-5131, CVE-2017-5132, CVE-2017-5133, CVE-2017-15386, CVE-2017-15387, CVE-2017-15388, CVE-2017-15389, CVE-2017-15390, CVE-2017-15391, CVE-2017-15392, CVE-2017-15393, CVE-2017-15394, CVE-2017-15395, CVE-2017-15396.
Yderligere oplysninger:

Flere sårbarheder er opdaget i webbrowseren chromium.

Desuden kan vi med denne meddelelse oplyse, at sikkerhedsunderstøttelse af chromium i den gamle stabile udgave (jessie), Debian 8, nu er ophørt.

Debian 8-brugere af chromium, som ønsker fortsatte sikkerhedsopdateringer, opfordres kraftigt til at opgradere til den aktuelle stabile udgave (stretch), Debian 9.

Et alternativ er at skifte til browseren firefox, som i nogen tid endnu vil modtage sikkerhedsopdateringer i jessie.

  • CVE-2017-5124

    Et problem med udførelse af skripter på tværs af websteder, blev opdaget i MHTML.

  • CVE-2017-5125

    Et heapoverløbsproblem blev opdaget i biblioteket skia.

  • CVE-2017-5126

    Luat Nguyen opdagede et problem med anvendelse efter frigivelse i biblioteket pdfium.

  • CVE-2017-5127

    Luat Nguyen opdagede et andet problem med anvendelse efter frigivelse i biblioteket pdfium.

  • CVE-2017-5128

    Omair opdagede et heapoverløbsproblem i implementeringen af WebGL.

  • CVE-2017-5129

    Omair opdagede et problem med anvendelse efter frigivelse i implementeringen af WebAudio.

  • CVE-2017-5131

    Man opdagede et problem med skrivning uden for grænserne i biblioteket skia.

  • CVE-2017-5132

    Guarav Dewan opdagede en fejl i implementeringen af WebAssembly.

  • CVE-2017-5133

    Aleksandar Nikolic opdagede et problem med skrivning uden for grænserne i biblioteket skia.

  • CVE-2017-15386

    WenXu Wu opdagede et problem med forfalskning af brugergrænsefladen.

  • CVE-2017-15387

    Jun Kokatsu opdagede en måde at omgå indholdssikkerhedspolicy på.

  • CVE-2017-15388

    Kushal Arvind Shah opdagede et problem med læsning uden for grænserne i biblioteket skia.

  • CVE-2017-15389

    xisigr opdagede et problem med URL-forfalskning.

  • CVE-2017-15390

    Haosheng Wang opdagede et problem med URL-forfalskning.

  • CVE-2017-15391

    Joao Lucas Melo Brasio opdagede en måde hvorpå en udvidelse kunne omgå sine begrænsninger.

  • CVE-2017-15392

    Xiaoyin Liu opdagede en fejl i implementeringen af registry keys.

  • CVE-2017-15393

    Svyat Mitin opdagede et problem i devtools.

  • CVE-2017-15394

    Sam opdagede et problem med URL-forfalskning.

  • CVE-2017-15395

    Johannes Bergman et problem med en nullpointerdereference.

  • CVE-2017-15396

    Yuan Deng opdagede et stakoverløbsproblem i JavaScript-biblioteket v8.

I den gamle stabile distribution (jessie), er sikkerhedsunderstøttelse af chromium ophørt.

I den stabile distribution (stretch), er disse problemer rettet i version 62.0.3202.75-1~deb9u1.

I distributionen testing (buster), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 62.0.3202.75-1.

Vi anbefaler at du opgraderer dine chromium-browser-pakker.