Aviso de seguridad de Debian

DSA-4182-1 chromium-browser -- actualización de seguridad

Fecha del informe:
28 de abr de 2018
Paquetes afectados:
chromium-browser
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2018-6056, CVE-2018-6057, CVE-2018-6060, CVE-2018-6061, CVE-2018-6062, CVE-2018-6063, CVE-2018-6064, CVE-2018-6065, CVE-2018-6066, CVE-2018-6067, CVE-2018-6068, CVE-2018-6069, CVE-2018-6070, CVE-2018-6071, CVE-2018-6072, CVE-2018-6073, CVE-2018-6074, CVE-2018-6075, CVE-2018-6076, CVE-2018-6077, CVE-2018-6078, CVE-2018-6079, CVE-2018-6080, CVE-2018-6081, CVE-2018-6082, CVE-2018-6083, CVE-2018-6085, CVE-2018-6086, CVE-2018-6087, CVE-2018-6088, CVE-2018-6089, CVE-2018-6090, CVE-2018-6091, CVE-2018-6092, CVE-2018-6093, CVE-2018-6094, CVE-2018-6095, CVE-2018-6096, CVE-2018-6097, CVE-2018-6098, CVE-2018-6099, CVE-2018-6100, CVE-2018-6101, CVE-2018-6102, CVE-2018-6103, CVE-2018-6104, CVE-2018-6105, CVE-2018-6106, CVE-2018-6107, CVE-2018-6108, CVE-2018-6109, CVE-2018-6110, CVE-2018-6111, CVE-2018-6112, CVE-2018-6113, CVE-2018-6114, CVE-2018-6116, CVE-2018-6117.
Información adicional:

Se han descubierto varias vulnerabilidades en el navegador web Chromium.

  • CVE-2018-6056

    lokihardt descubrió un error en la biblioteca javascript v8.

  • CVE-2018-6057

    Gal Beniamini descubrió errores relacionados con permisos de la memoria compartida.

  • CVE-2018-6060

    Omair descubrió un problema de «uso tras liberar» en blink/webkit.

  • CVE-2018-6061

    Guang Gong descubrió una condición de carrera en la biblioteca javascript v8.

  • CVE-2018-6062

    Se descubrió un problema de desbordamiento de memoria dinámica («heap») en la biblioteca javascript v8.

  • CVE-2018-6063

    Gal Beniamini descubrió errores relacionados con permisos de la memoria compartida.

  • CVE-2018-6064

    lokihardt descubrió un error de confusión de tipo en la biblioteca javascript v8.

  • CVE-2018-6065

    Mark Brand descubrió un problema de desbordamiento de entero en la biblioteca javascript v8.

  • CVE-2018-6066

    Masato Kinugawa descubrió una manera de sortear la política del mismo origen.

  • CVE-2018-6067

    Ned Williamson descubrió un problema de desbordamiento de memoria en la biblioteca skia.

  • CVE-2018-6068

    Luan Herrera descubrió problemas del ciclo de vida de los objetos.

  • CVE-2018-6069

    Wanglu y Yangkang descubrieron un problema de desbordamiento de pila en la biblioteca skia.

  • CVE-2018-6070

    Rob Wu descubrió una manera de sortear la política de seguridad del contenido.

  • CVE-2018-6071

    Se descubrió un problema de desbordamiento de memoria dinámica («heap») en la biblioteca skia.

  • CVE-2018-6072

    Atte Kettunen descubrió un problema de desbordamiento de entero en la biblioteca pdfium.

  • CVE-2018-6073

    Omair descubrió un desbordamiento de memoria dinámica («heap») en la implementación de WebGL.

  • CVE-2018-6074

    Abdulrahman Alqabandi descubrió una manera de hacer que una página web descargada no contenga una «marca de la web» («Mark of the Web»).

  • CVE-2018-6075

    Inti De Ceukelaire descubrió una manera de sortear la política del mismo origen.

  • CVE-2018-6076

    Mateusz Krzeszowiec descubrió que los identificadores de fragmento URL podrían tratarse incorrectamente.

  • CVE-2018-6077

    Khalil Zhani descubrió un problema de temporización.

  • CVE-2018-6078

    Khalil Zhani descubrió un problema de suplantación de URL.

  • CVE-2018-6079

    Ivars descubrió un problema de revelación de información.

  • CVE-2018-6080

    Gal Beniamini descubrió un problema de revelación de información.

  • CVE-2018-6081

    Rob Wu descubrió un problema de cross site scripting.

  • CVE-2018-6082

    WenXu Wu descubrió una manera de sortear el bloqueo de puertos.

  • CVE-2018-6083

    Jun Kokatsu descubrió que los AppManifests podrían tratarse incorrectamente.

  • CVE-2018-6085

    Ned Williamson descubrió un problema de «uso tras liberar».

  • CVE-2018-6086

    Ned Williamson descubrió un problema de «uso tras liberar».

  • CVE-2018-6087

    Se descubrió un problema de «uso tras liberar» en la implementación de WebAssembly.

  • CVE-2018-6088

    Se descubrió un problema de «uso tras liberar» en la biblioteca pdfium.

  • CVE-2018-6089

    Rob Wu descubrió una manera de sortear la política del mismo origen.

  • CVE-2018-6090

    ZhanJia Song descubrió un problema de desbordamiento de memoria dinámica («heap») en la biblioteca skia.

  • CVE-2018-6091

    Jun Kokatsu descubrió que las extensiones («plugins») podrían tratarse incorrectamente.

  • CVE-2018-6092

    Natalie Silvanovich descubrió un problema de desbordamiento de entero en la implementación de WebAssembly.

  • CVE-2018-6093

    Jun Kokatsu descubrió una manera de sortear la política del mismo origen.

  • CVE-2018-6094

    Chris Rohlf descubrió una regresión en el endurecimiento de la recolección de basura («garbage collection hardening»).

  • CVE-2018-6095

    Abdulrahman Alqabandi descubrió que se podrían subir ficheros sin la interacción del usuario.

  • CVE-2018-6096

    WenXu Wu descubrió un problema de suplantación de la interfaz de usuario.

  • CVE-2018-6097

    xisigr descubrió un problema de suplantación de la interfaz de usuario.

  • CVE-2018-6098

    Khalil Zhani descubrió un problema de suplantación de URL.

  • CVE-2018-6099

    Jun Kokatsu descubrió una manera de sortear el mecanismo de intercambio de recursos de origen cruzado.

  • CVE-2018-6100

    Lnyas Zhang descubrió un problema de suplantación de URL.

  • CVE-2018-6101

    Rob Wu descubrió un problema en el protocolo de depuración remota de las herramientas para el programador.

  • CVE-2018-6102

    Khalil Zhani descubrió un problema de suplantación de URL.

  • CVE-2018-6103

    Khalil Zhani descubrió un problema de suplantación de la interfaz de usuario.

  • CVE-2018-6104

    Khalil Zhani descubrió un problema de suplantación de URL.

  • CVE-2018-6105

    Khalil Zhani descubrió un problema de suplantación de URL.

  • CVE-2018-6106

    lokihardt descubrió que las «promises» v8 podrían tratarse incorrectamente.

  • CVE-2018-6107

    Khalil Zhani descubrió un problema de suplantación de URL.

  • CVE-2018-6108

    Khalil Zhani descubrió un problema de suplantación de URL.

  • CVE-2018-6109

    Dominik Weber descubrió una manera de usar incorrectamente la herramienta FileAPI.

  • CVE-2018-6110

    Wenxiang Qian descubrió que los ficheros locales de texto plano podrían tratarse incorrectamente.

  • CVE-2018-6111

    Khalil Zhani descubrió un problema de «uso tras liberar» en las herramientas para el programador.

  • CVE-2018-6112

    Khalil Zhani descubrió un tratamiento incorrecto de las URL en las herramientas para el programador.

  • CVE-2018-6113

    Khalil Zhani descubrió un problema de suplantación de URL.

  • CVE-2018-6114

    Lnyas Zhang descubrió una manera de sortear la política de seguridad del contenido.

  • CVE-2018-6116

    El Centro de respuesta ante incidencias de seguridad de Chengdu («Chengdu Security Response Center») descubrió un error cuando hay poca memoria.

  • CVE-2018-6117

    Spencer Dailey descubrió un error en la configuración del llenado automático de formularios («form autofill»).

Para la distribución «antigua estable» (jessie), el soporte de seguridad de Chromium está discontinuado.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 66.0.3359.117-1~deb9u1.

Le recomendamos que actualice los paquetes de chromium-browser.

Para información detallada sobre el estado de seguridad de chromium-browser consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/chromium-browser