Aviso de seguridad de Debian

DSA-4020-1 chromium-browser -- actualización de seguridad

Fecha del informe:
5 de nov de 2017
Paquetes afectados:
chromium-browser
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2017-5124, CVE-2017-5125, CVE-2017-5126, CVE-2017-5127, CVE-2017-5128, CVE-2017-5129, CVE-2017-5131, CVE-2017-5132, CVE-2017-5133, CVE-2017-15386, CVE-2017-15387, CVE-2017-15388, CVE-2017-15389, CVE-2017-15390, CVE-2017-15391, CVE-2017-15392, CVE-2017-15393, CVE-2017-15394, CVE-2017-15395, CVE-2017-15396.
Información adicional:

Se han descubierto varias vulnerabilidades en el navegador web Chromium.

Adicionalmente, este mensaje sirve para anunciar que el soporte de seguridad para Chromium en la distribución «antigua estable» (jessie), Debian 8, se ha discontinuado.

Recomendamos encarecidamente a los usuarios de Chromium en Debian 8 que deseen seguir disponiendo de actualizaciones de seguridad, el paso a la actual distribución «estable» (stretch), Debian 9.

Otra alternativa sería el cambio al navegador Firefox, que seguirá recibiendo actualizaciones de seguridad en jessie durante algún tiempo.

  • CVE-2017-5124

    Se descubrió un problema de cross site scripting en MHTML.

  • CVE-2017-5125

    Se descubrió un problema de desbordamiento de memoria dinámica («heap») en la biblioteca skia.

  • CVE-2017-5126

    Luat Nguyen descubrió un problema de «uso tras liberar» en la biblioteca pdfium.

  • CVE-2017-5127

    Luat Nguyen descubrió otro problema de «uso tras liberar» en la biblioteca pdfium.

  • CVE-2017-5128

    Omair descubrió un problema de desbordamiento de memoria dinámica («heap») en la implementación de WebGL.

  • CVE-2017-5129

    Omair descubrió un problema de «uso tras liberar» en la implementación de WebAudio.

  • CVE-2017-5131

    Se descubrió un problema de escritura fuera de límites en la biblioteca skia.

  • CVE-2017-5132

    Guarav Dewan descubrió un error en la implementación de WebAssembly.

  • CVE-2017-5133

    Aleksandar Nikolic descubrió un problema de escritura fuera de límites en la biblioteca skia.

  • CVE-2017-15386

    WenXu Wu descubrió un problema de suplantación de la interfaz de usuario.

  • CVE-2017-15387

    Jun Kokatsu descubrió una manera de sortear la política de seguridad del contenido.

  • CVE-2017-15388

    Kushal Arvind Shah descubrió un problema de lectura fuera de límites en la biblioteca skia.

  • CVE-2017-15389

    xisigr descubrió un problema de suplantación de URL.

  • CVE-2017-15390

    Haosheng Wang descubrió un problema de suplantación de URL.

  • CVE-2017-15391

    Joao Lucas Melo Brasio descubrió una manera de hacer que una extensión eluda sus restricciones.

  • CVE-2017-15392

    Xiaoyin Liu descubrió un error en la implementación de las claves de registro.

  • CVE-2017-15393

    Svyat Mitin descubrió un problema en las herramientas para el programador.

  • CVE-2017-15394

    Sam descubrió un problema de suplantación de URL.

  • CVE-2017-15395

    Johannes Bergman descubrió un problema de desreferencia de puntero nulo.

  • CVE-2017-15396

    Yuan Deng descubrió un problema de desbordamiento de pila en la biblioteca javascript v8.

Para la distribución «antigua estable» (jessie), el soporte de seguridad de Chromium está discontinuado.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 62.0.3202.75-1~deb9u1.

Para la distribución «en pruebas» (buster), estos problemas se corregirán pronto.

Para la distribución «inestable» (sid), estos problemas se han corregido en la versión 62.0.3202.75-1.

Le recomendamos que actualice los paquetes de chromium-browser.