Bulletin d'alerte Debian

DSA-4020-1 chromium-browser -- Mise à jour de sécurité

Date du rapport :
5 novembre 2017
Paquets concernés :
chromium-browser
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-5124, CVE-2017-5125, CVE-2017-5126, CVE-2017-5127, CVE-2017-5128, CVE-2017-5129, CVE-2017-5131, CVE-2017-5132, CVE-2017-5133, CVE-2017-15386, CVE-2017-15387, CVE-2017-15388, CVE-2017-15389, CVE-2017-15390, CVE-2017-15391, CVE-2017-15392, CVE-2017-15393, CVE-2017-15394, CVE-2017-15395, CVE-2017-15396.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium.

De plus, ce message sert à annoncer que le suivi de sécurité de Chromium pour la version oldstable (Jessie), Debian 8, est maintenant arrêté.

Les utilisateurs de Chromium dans Debian 8 qui souhaitent continuer à bénéficier de mises à jour de sécurité sont fortement encouragés à mettre à niveau maintenant vers la version stable actuelle (Stretch), Debian 9.

Une alternative est de migrer vers le navigateur firefox, qui continuera à recevoir des mises à jour de sécurité dans Jessie pendant un certain temps.

  • CVE-2017-5124

    Un problème de script intersite a été découvert dans MHTML.

  • CVE-2017-5125

    Un problème de dépassement de tas a été découvert dans la bibliothèque skia.

  • CVE-2017-5126

    Luat Nguyen a découvert un problème d'utilisation de mémoire après libération dans la bibliothèque pdfium.

  • CVE-2017-5127

    Luat Nguyen a découvert un autre problème d'utilisation de mémoire après libération dans la bibliothèque pdfium.

  • CVE-2017-5128

    Omair a découvert un problème de dépassement de tas dans l'implémentation de WebGL .

  • CVE-2017-5129

    Omair a découvert un problème d'utilisation de mémoire après libération dans l'implémentation de WebAudio.

  • CVE-2017-5131

    Un problème d'écriture hors limites a été découvert dans la bibliothèque skia.

  • CVE-2017-5132

    Guarav Dewan a découvert une erreur dans l'implémentation de WebAssembly.

  • CVE-2017-5133

    Aleksandar Nikolic a découvert un problème d'écriture hors limites dans la bibliothèque skia.

  • CVE-2017-15386

    WenXu Wu a découvert un problème d'usurpation d'interface utilisateur.

  • CVE-2017-15387

    Jun Kokatsu a découvert un moyen de contourner le « Content Security Policy ».

  • CVE-2017-15388

    Kushal Arvind Shah a découvert un problème de lecture hors limites dans la bibliothèque skia.

  • CVE-2017-15389

    xisigr a découvert un problème d'usurpation d'URL.

  • CVE-2017-15390

    Haosheng Wang a découvert un problème d'usurpation d'URL.

  • CVE-2017-15391

    Joao Lucas Melo Brasio a découvert un moyen pour une extension de contourner ses limitations.

  • CVE-2017-15392

    Xiaoyin Liu a découvert une erreur dans l'implémentation des clés de registre.

  • CVE-2017-15393

    Svyat Mitin a découvert un problème dans le devtools.

  • CVE-2017-15394

    Sam a découvert un problème d'usurpation d'URL.

  • CVE-2017-15395

    Johannes Bergman a découvert un problème de déréférencement de pointeur NULL.

  • CVE-2017-15396

    Yuan Deng a découvert un problème de dépassement de pile dans la bibliothèque JavaScript v8.

Pour la distribution oldstable (Jessie), le suivi de sécurité pour Chromium est terminé.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 62.0.3202.75-1~deb9u1.

Pour la distribution testing (Buster), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 62.0.3202.75-1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.