Bulletin d'alerte Debian

DSA-4256-1 chromium-browser -- Mise à jour de sécurité

Date du rapport :
26 juillet 2018
Paquets concernés :
chromium-browser
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-4117, CVE-2018-6044, CVE-2018-6150, CVE-2018-6151, CVE-2018-6152, CVE-2018-6153, CVE-2018-6154, CVE-2018-6155, CVE-2018-6156, CVE-2018-6157, CVE-2018-6158, CVE-2018-6159, CVE-2018-6161, CVE-2018-6162, CVE-2018-6163, CVE-2018-6164, CVE-2018-6165, CVE-2018-6166, CVE-2018-6167, CVE-2018-6168, CVE-2018-6169, CVE-2018-6170, CVE-2018-6171, CVE-2018-6172, CVE-2018-6173, CVE-2018-6174, CVE-2018-6175, CVE-2018-6176, CVE-2018-6177, CVE-2018-6178, CVE-2018-6179.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium.

  • CVE-2018-4117

    AhsanEjaz a découvert une fuite d'informations.

  • CVE-2018-6044

    Rob Wu a découvert une façon d'augmenter ses droits en utilisant des extensions.

  • CVE-2018-6150

    Rob Wu a découvert un problème de divulgation d'informations (ce problème avait été corrigé dans une version précédente mais a été oublié par erreur, à ce moment, dans l'annonce amont).

  • CVE-2018-6151

    Rob Wu a découvert un problème dans les outils de développement (ce problème avait été corrigé dans une version précédente mais a été oublié par erreur, à ce moment, dans l'annonce amont).

  • CVE-2018-6152

    Rob Wu a découvert un problème dans les outils de développement (ce problème avait été corrigé dans une version précédente mais a été oublié par erreur, à ce moment, dans l'annonce amont).

  • CVE-2018-6153

    Zhen Zhou a découvert un problème de dépassement de tampon dans la bibliothèque skia.

  • CVE-2018-6154

    Omair a découvert un problème de dépassement de tampon dans l'implémentation de WebGL.

  • CVE-2018-6155

    Natalie Silvanovich a découvert un problème d'utilisation de mémoire après libération dans l'implémentation de WebRTC.

  • CVE-2018-6156

    Natalie Silvanovich a découvert un problème de dépassement de tampon dans l'implémentation de WebRTC.

  • CVE-2018-6157

    Natalie Silvanovich a découvert un problème de confusion de type dans l'implémentation de WebRTC.

  • CVE-2018-6158

    Zhe Jin a découvert un problème d'utilisation de mémoire après libération.

  • CVE-2018-6159

    Jun Kokatsu a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6161

    Jun Kokatsu a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6162

    Omair a découvert un problème de dépassement de tampon dans l'implémentation de WebGL.

  • CVE-2018-6163

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6164

    Jun Kokatsu a découvert une façon de contourner la politique de même origine.

  • CVE-2018-6165

    evil1m0 a découvert un problème d'usurpation d'URL.

  • CVE-2018-6166

    Lynas Zhang a découvert un problème d'usurpation d'URL.

  • CVE-2018-6167

    Lynas Zhang a découvert un problème d'usurpation d'URL.

  • CVE-2018-6168

    Gunes Acar et Danny Y. Huang ont découvert une façon de contourner la politique de partage de ressources d'origine croisée (CORS).

  • CVE-2018-6169

    Sam P a découvert une façon de contourner les droits lors de l'installation d'extensions.

  • CVE-2018-6170

    Un problème de confusion de type a été découvert dans la bibliothèque pdfium.

  • CVE-2018-6171

    Un problème d'utilisation de mémoire après libération a été découvert dans l'implémentation de WebBluetooth.

  • CVE-2018-6172

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6173

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6174

    Mark Brand a découvert un problème de dépassement d'entier dans la bibliothèque swiftshader.

  • CVE-2018-6175

    Khalil Zhani a découvert un problème d'usurpation d'URL.

  • CVE-2018-6176

    Jann Horn a découvert une façon d'augmenter ses droits en utilisant des extensions.

  • CVE-2018-6177

    Ron Masas a découvert une fuite d'informations.

  • CVE-2018-6178

    Khalil Zhani a découvert un problème d'usurpation d'interface utilisateur.

  • CVE-2018-6179

    Des informations sur des fichiers présents sur le système pourraient être divulguées aux extensions.

Cette version corrige aussi une régression introduite dans la mise jour de sécurité précédente qui pourrait empêcher le décodage de certains codecs audio ou vidéo.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 68.0.3440.75-1~deb9u1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.

Pour disposer d'un état détaillé sur la sécurité de chromium-browser, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/chromium-browser.