Bulletin d'alerte Debian

DSA-4182-1 chromium-browser -- Mise à jour de sécurité

Date du rapport :
28 avril 2018
Paquets concernés :
chromium-browser
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-6056, CVE-2018-6057, CVE-2018-6060, CVE-2018-6061, CVE-2018-6062, CVE-2018-6063, CVE-2018-6064, CVE-2018-6065, CVE-2018-6066, CVE-2018-6067, CVE-2018-6068, CVE-2018-6069, CVE-2018-6070, CVE-2018-6071, CVE-2018-6072, CVE-2018-6073, CVE-2018-6074, CVE-2018-6075, CVE-2018-6076, CVE-2018-6077, CVE-2018-6078, CVE-2018-6079, CVE-2018-6080, CVE-2018-6081, CVE-2018-6082, CVE-2018-6083, CVE-2018-6085, CVE-2018-6086, CVE-2018-6087, CVE-2018-6088, CVE-2018-6089, CVE-2018-6090, CVE-2018-6091, CVE-2018-6092, CVE-2018-6093, CVE-2018-6094, CVE-2018-6095, CVE-2018-6096, CVE-2018-6097, CVE-2018-6098, CVE-2018-6099, CVE-2018-6100, CVE-2018-6101, CVE-2018-6102, CVE-2018-6103, CVE-2018-6104, CVE-2018-6105, CVE-2018-6106, CVE-2018-6107, CVE-2018-6108, CVE-2018-6109, CVE-2018-6110, CVE-2018-6111, CVE-2018-6112, CVE-2018-6113, CVE-2018-6114, CVE-2018-6116, CVE-2018-6117.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium.

  • CVE-2018-6056

    lokihardt a découvert une erreur dans la bibliothèque JavaScript v8.

  • CVE-2018-6057

    Gal Beniamini a découvert des erreurs relatives aux droits de la mémoire partagée.

  • CVE-2018-6060

    Omair a découvert un problème d'utilisation de mémoire après libération dans Blink et Webkit.

  • CVE-2018-6061

    Guang Gong a découvert une situation de compétition dans la bibliothèque JavaScript v8.

  • CVE-2018-6062

    Un problème de dépassement de tas a été découvert dans la bibliothèque JavaScript v8.

  • CVE-2018-6063

    Gal Beniamini a découvert des erreurs relatives aux droits de la mémoire partagée.

  • CVE-2018-6064

    lokihardt a découvert une erreur de confusion de type dans la bibliothèque JavaScript v8.

  • CVE-2018-6065

    Mark Brand a découvert un problème de dépassement d'entier dans la bibliothèque JavaScript v8.

  • CVE-2018-6066

    Masato Kinugawa a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6067

    Ned Williamson a découvert un problème de dépassement de tampon dans la bibliothèque skia.

  • CVE-2018-6068

    Luan Herrera a découvert des problèmes de cycle de vie d'objets.

  • CVE-2018-6069

    Wanglu et Yangkang ont découvert un problème de dépassement de pile dans la bibliothèque skia.

  • CVE-2018-6070

    Rob Wu a découvert une façon de contourner le « Content Security Policy ».

  • CVE-2018-6071

    Un problème de dépassement de tas a été découvert dans la bibliothèque skia.

  • CVE-2018-6072

    Atte Kettunen a découvert un problème de dépassement d'entier dans la bibliothèque pdfium.

  • CVE-2018-6073

    Omair a découvert un problème de dépassement de tas dans l'implémentation de WebGL.

  • CVE-2018-6074

    Abdulrahman Alqabandi a découvert une façon de faire en sorte qu'une page web téléchargée ne contienne pas une « Mark of the Web ».

  • CVE-2018-6075

    Inti De Ceukelaire a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6076

    Mateusz Krzeszowiec a découvert que les identificateurs de fragments d'URL pourraient être gérés incorrectement.

  • CVE-2018-6077

    Khalil Zhani a découvert un problème d'attaque temporelle.

  • CVE-2018-6078

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6079

    Ivars a découvert un problème de divulgation d'informations.

  • CVE-2018-6080

    Gal Beniamini a découvert un problème de divulgation d'informations.

  • CVE-2018-6081

    Rob Wu a découvert problème de script intersite.

  • CVE-2018-6082

    WenXu Wu a découvert une façon de contourner des ports bloqués.

  • CVE-2018-6083

    Jun Kokatsu a découvert que AppManifests pourrait être géré incorrectement.

  • CVE-2018-6085

    Ned Williamson a découvert un problème d'utilisation de mémoire après libération.

  • CVE-2018-6086

    Ned Williamson a découvert un problème d'utilisation de mémoire après libération.

  • CVE-2018-6087

    Un problème d'utilisation de mémoire après libération a été découvert dans l'implémentation de WebAssembly.

  • CVE-2018-6088

    Un problème d'utilisation de mémoire après libération a été découvert dans la bibliothèque pdfium .

  • CVE-2018-6089

    Rob Wu a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6090

    ZhanJia Song a découvert un problème de dépassement de tas dans la bibliothèque skia.

  • CVE-2018-6091

    Jun Kokatsu a découvert que des greffons pourraient être gérés incorrectement.

  • CVE-2018-6092

    Natalie Silvanovich a découvert un problème de dépassement d'entier dans l'implémentation de WebAssembly.

  • CVE-2018-6093

    Jun Kokatsu a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6094

    Chris Rohlf a découvert une régression dans le renforcement du ramasse-miettes.

  • CVE-2018-6095

    Abdulrahman Alqabandi a découvert que des fichiers pourraient être envoyés sans interaction de l'utilisateur.

  • CVE-2018-6096

    WenXu Wu a découvert un problème d'usurpation d'interface utilisateur.

  • CVE-2018-6097

    xisigr a découvert un problème d'usurpation d'interface utilisateur.

  • CVE-2018-6098

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6099

    Jun Kokatsu a découvert une façon de contourner le mécanisme de partage de ressources d'origine croisée.

  • CVE-2018-6100

    Lnyas Zhang a découvert un problème d'usurpation d'URL.

  • CVE-2018-6101

    Rob Wu a découvert un problème dans le protocole de débogage à distance des outils de développement.

  • CVE-2018-6102

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6103

    Khalil Zhani a découvert un problème d'usurpation d'interface utilisateur.

  • CVE-2018-6104

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6105

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6106

    lokihardt a découvert que les promesses de la bibliothèque JavaScript v8 pourraient être gérées incorrectement.

  • CVE-2018-6107

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6108

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6109

    Dominik Weber a découvert une façon de mal utiliser la fonctionnalité FileAPI.

  • CVE-2018-6110

    Wenxiang Qian a découvert que les fichiers locaux au format texte simple pourraient être gérés incorrectement.

  • CVE-2018-6111

    Khalil Zhani a découvert un problème d'utilisation de mémoire après libération dans les outils de développement.

  • CVE-2018-6112

    Khalil Zhani a découvert un traitement incorrect des URL dans les outils de développement.

  • CVE-2018-6113

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6114

    Lnyas Zhang a découvert une façon de contourner le « Content Security Policy ».

  • CVE-2018-6116

    Le Chengdu Security Response Center a découvert une erreur lorsque la quantité de mémoire est basse.

  • CVE-2018-6117

    Spencer Dailey a découvert une erreur dans les réglages du remplissage automatique de formulaire.

Pour la distribution oldstable (Jessie), le suivi de sécurité pour Chromium a été arrêté.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 66.0.3359.117-1~deb9u1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.

Pour disposer d'un état détaillé sur la sécurité de chromium-browser, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/chromium-browser.