Säkerhetsbulletin från Debian

DSA-4020-1 chromium-browser -- säkerhetsuppdatering

Rapporterat den:
2017-11-05
Berörda paket:
chromium-browser
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-5124, CVE-2017-5125, CVE-2017-5126, CVE-2017-5127, CVE-2017-5128, CVE-2017-5129, CVE-2017-5131, CVE-2017-5132, CVE-2017-5133, CVE-2017-15386, CVE-2017-15387, CVE-2017-15388, CVE-2017-15389, CVE-2017-15390, CVE-2017-15391, CVE-2017-15392, CVE-2017-15393, CVE-2017-15394, CVE-2017-15395, CVE-2017-15396.
Ytterligare information:

Flera sårbarheter har upptäckts i webbläsaren chromium.

Utöver detta tjänar detta meddelande som ett tillkännagivande att säkerhetsstödet för chromium i den gamla stabila utgåvan (Jessie), Debian 8, nu upphör.

Chromiumanvändare på Debian 8 som vill ha fortsatta säkerhetsuppdateringar rekommenderas starkt att uppgradera till den aktuella stabila utgåvan (Stretch), Debian 9.

Ett alternativ är att byta till webbläsaren Firefox, som kommer att få fortsatta säkerhetsuppdateringar i jessie under längre tid.

  • CVE-2017-5124

    Ett problem med sajtöverskridande skriptning har upptäckts i MHTML.

  • CVE-2017-5125

    Ett heapbaserat bufferspill har upptäckts i biblioteket skia.

  • CVE-2017-5126

    Luat Nguyen upptäckte en användning efter frigörning i biblioteket pdfium.

  • CVE-2017-5127

    Luat Nguyen upptäckte ytterligare en användning efter frigörning i biblioteket pdfium.

  • CVE-2017-5128

    Omair upptäckte ett heapbaserat bufferspill i implementationen av WebGL.

  • CVE-2017-5129

    Omair upptäckte en användning efter frigörning i implementationen av WebAudio.

  • CVE-2017-5131

    Ett problem med skrivning utanför gränserna har upptäckts i biblioteket skia.

  • CVE-2017-5132

    Guarav Dewan upptäckte ett fel i implementationen av WebAssembly.

  • CVE-2017-5133

    Aleksandar Nikolic upptäckte en skrivning utanför gränserna i biblioteket skia.

  • CVE-2017-15386

    WenXu Wu upptäckte ett problem med förfalskning användargränssnitt.

  • CVE-2017-15387

    Jun Kokatsu upptäckte ett sätt att förbigå innehållssäkerhetspolicyn.

  • CVE-2017-15388

    Kushal Arvind Shah upptäckte en läsning utanför gränserna i biblioteket skia.

  • CVE-2017-15389

    xisigr upptäckte ett URL-förfalskningsproblem.

  • CVE-2017-15390

    Haosheng Wang upptäckt ett URL-förfalskningsproblem.

  • CVE-2017-15391

    Joao Lucas Mela Brasio upptäckte ett sätt för en tilläggsmodul att förbigå sina begränsningar.

  • CVE-2017-15392

    Xiaoyin Liu upptäckte ett fel i implementationen av registernycklar.

  • CVE-2017-15393

    Svyat Mitin upptäckte ett problem i utvecklarverktygen.

  • CVE-2017-15394

    Sam upptäckte ett URL-förfalskningsproblem.

  • CVE-2017-15395

    Johannes Bergman upptäckte ett problem med null-pekardereferering.

  • CVE-2017-15396

    Yuan Deng upptäckte ett stackspill i javascriptbiblioteket v8.

För den gamla stabila utgåvan (Jessie), har säkerhetsstöd för chromium upphört.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 62.0.3202.75-1~deb9u1.

För uttestningsutgåvan (Buster) kommer dessa problem att rättas inom kort.

För den instabila distributionen (Sid) har dessa problem rättats i version 62.0.3202.75-1.

Vi rekommenderar att ni uppgraderar era chromium-browser-paket.