Рекомендация Debian по безопасности

DSA-4020-1 chromium-browser -- обновление безопасности

Дата сообщения:
05.11.2017
Затронутые пакеты:
chromium-browser
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-5124, CVE-2017-5125, CVE-2017-5126, CVE-2017-5127, CVE-2017-5128, CVE-2017-5129, CVE-2017-5131, CVE-2017-5132, CVE-2017-5133, CVE-2017-15386, CVE-2017-15387, CVE-2017-15388, CVE-2017-15389, CVE-2017-15390, CVE-2017-15391, CVE-2017-15392, CVE-2017-15393, CVE-2017-15394, CVE-2017-15395, CVE-2017-15396.
Более подробная информация:

В веб-браузере chromium было обнаружено несколько уязвимостей.

Кроме того, данное сообщение служит для того, чтобы сообщить, что поддержка безопасности для chromium в предыдущем стабильном выпуске (jessie), Debian 8, прекращена.

Пользователям chromium, использующим Debian 8 и желающим получать обновления безопасности, настоятельно рекомендуется выполнить обновление до текущего стабильного выпуска (stretch), Debian 9.

В качестве альтернативы можно перейти на использование браузера firefox, который ещё будет некоторое время получать обновления в выпуске jessie.

  • CVE-2017-5124

    В MHTML был обнаружен межсайтовый скриптинг.

  • CVE-2017-5125

    В библиотеке skia было обнаружено переполнение динамической памяти.

  • CVE-2017-5126

    Луат Нгуиен обнаружил использование указателей после освобождения памяти в библиотеке pdfium.

  • CVE-2017-5127

    Луат Нгуиен обнаружил ещё одно использование указателей после освобождения памяти в библиотеке pdfium.

  • CVE-2017-5128

    Omair обнаружил переполнение динамической памяти в реализации WebGL.

  • CVE-2017-5129

    Omair обнаружил использование указателей после освобождения памяти в реализации WebAudio.

  • CVE-2017-5131

    В библиотеке skia была обнаружена запись за пределами выделенного буфера памяти.

  • CVE-2017-5132

    Гуарав Деуан обнаружил ошибку в реализации WebAssembly.

  • CVE-2017-5133

    Александар Николич обнаружил запись за пределами выделенного буфера памяти в библиотеке skia.

  • CVE-2017-15386

    ВенСюй Ву обнаружил возможность подделки интерфейса пользователя.

  • CVE-2017-15387

    Джун Кокатсу обнаружил способ обхода правила безопасности содержимого.

  • CVE-2017-15388

    Кушал Арвинд Шах обнаружил чтение за пределами выделенного буфера памяти в библиотеке skia.

  • CVE-2017-15389

    xisigr обнаружил возможность подделки URL.

  • CVE-2017-15390

    Хаошен Ван обнаружил способ подделки URL.

  • CVE-2017-15391

    Хоа Лукас Мело Бразио обнаружил способ обхода ограничений расширения.

  • CVE-2017-15392

    Сяоинь Лю обнаружил ошибку в реализации ключей регистра.

  • CVE-2017-15393

    Свят Митин обнаружил проблему в инструментах разработчика.

  • CVE-2017-15394

    Sam обнаружил способ подделки URL.

  • CVE-2017-15395

    Йоханнес Бергман обнаружил разыменование null-указателя.

  • CVE-2017-15396

    Юань Дэн обнаружил переполнение стека в javascript-библиотеке v8.

В предыдущем стабильном выпуске (jessie) поддержка безопасности для пакета chromium была прекращена.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 62.0.3202.75-1~deb9u1.

В тестируемом выпуске (buster) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 62.0.3202.75-1.

Рекомендуется обновить пакеты chromium-browser.