Bulletin d'alerte Debian

DSA-4256-1 chromium-browser -- Mise à jour de sécurité

Date du rapport :
26 juillet 2018
Paquets concernés :
chromium-browser
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-4117, CVE-2018-6044, CVE-2018-6150, CVE-2018-6151, CVE-2018-6152, CVE-2018-6153, CVE-2018-6154, CVE-2018-6155, CVE-2018-6156, CVE-2018-6157, CVE-2018-6158, CVE-2018-6159, CVE-2018-6161, CVE-2018-6162, CVE-2018-6163, CVE-2018-6164, CVE-2018-6165, CVE-2018-6166, CVE-2018-6167, CVE-2018-6168, CVE-2018-6169, CVE-2018-6170, CVE-2018-6171, CVE-2018-6172, CVE-2018-6173, CVE-2018-6174, CVE-2018-6175, CVE-2018-6176, CVE-2018-6177, CVE-2018-6178, CVE-2018-6179.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium.

  • CVE-2018-4117

    AhsanEjaz a découvert une fuite d'informations.

  • CVE-2018-6044

    Rob Wu a découvert une façon d'augmenter ses droits en utilisant des extensions.

  • CVE-2018-6150

    Rob Wu a découvert un problème de divulgation d'informations (ce problème avait été corrigé dans une version précédente mais a été oublié par erreur, à ce moment, dans l'annonce amont).

  • CVE-2018-6151

    Rob Wu a découvert un problème dans les outils de développement (ce problème avait été corrigé dans une version précédente mais a été oublié par erreur, à ce moment, dans l'annonce amont).

  • CVE-2018-6152

    Rob Wu a découvert un problème dans les outils de développement (ce problème avait été corrigé dans une version précédente mais a été oublié par erreur, à ce moment, dans l'annonce amont).

  • CVE-2018-6153

    Zhen Zhou a découvert un problème de dépassement de tampon dans la bibliothèque skia.

  • CVE-2018-6154

    Omair a découvert un problème de dépassement de tampon dans l'implémentation de WebGL.

  • CVE-2018-6155

    Natalie Silvanovich a découvert un problème d'utilisation de mémoire après libération dans l'implémentation de WebRTC.

  • CVE-2018-6156

    Natalie Silvanovich a découvert un problème de dépassement de tampon dans l'implémentation de WebRTC.

  • CVE-2018-6157

    Natalie Silvanovich a découvert un problème de confusion de type dans l'implémentation de WebRTC.

  • CVE-2018-6158

    Zhe Jin a découvert un problème d'utilisation de mémoire après libération.

  • CVE-2018-6159

    Jun Kokatsu a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6161

    Jun Kokatsu a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6162

    Omair a découvert un problème de dépassement de tampon dans l'implémentation de WebGL.

  • CVE-2018-6163

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6164

    Jun Kokatsu a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6165

    evil1m0 a découvert un problème d'usurpation d'URL.

  • CVE-2018-6166

    Lynas Zhang a découvert un problème d'usurpation d'URL.

  • CVE-2018-6167

    Lynas Zhang a découvert un problème d'usurpation d'URL.

  • CVE-2018-6168

    Gunes Acar et Danny Y. Huang ont découvert une façon de contourner la politique de partage de ressources d'origine croisée (CORS).

  • CVE-2018-6169

    Sam P a découvert une façon de contourner les droits lors de l'installation d'extensions.

  • CVE-2018-6170

    Un problème de confusion de type a été découvert dans la bibliothèque pdfium.

  • CVE-2018-6171

    Un problème d'utilisation de mémoire après libération a été découvert dans l'implémentation de WebBluetooth.

  • CVE-2018-6172

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6173

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6174

    Mark Brand a découvert un problème de dépassement d'entier dans la bibliothèque swiftshader.

  • CVE-2018-6175

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6176

    Jann Horn a découvert une façon d'augmenter ses droits en utilisant des extensions.

  • CVE-2018-6177

    Ron Masas a découvert une fuite d'informations.

  • CVE-2018-6178

    Khalil Zhani a découvert un problème d'usurpation d'interface utilisateur.

  • CVE-2018-6179

    Des informations sur des fichiers présents sur le système pourraient être divulguées aux extensions.

Cette version corrige aussi une régression introduite dans la mise à jour de sécurité précédente qui pourrait empêcher le décodage de certains codecs audio ou vidéo.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 68.0.3440.75-1~deb9u1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.

Pour disposer d'un état détaillé sur la sécurité de chromium-browser, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/chromium-browser.