Рекомендация Debian по безопасности

DSA-4256-1 chromium-browser -- обновление безопасности

Дата сообщения:

26.07.2018

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2018-4117, CVE-2018-6044, CVE-2018-6150, CVE-2018-6151, CVE-2018-6152, CVE-2018-6153, CVE-2018-6154, CVE-2018-6155, CVE-2018-6156, CVE-2018-6157, CVE-2018-6158, CVE-2018-6159, CVE-2018-6161, CVE-2018-6162, CVE-2018-6163, CVE-2018-6164, CVE-2018-6165, CVE-2018-6166, CVE-2018-6167, CVE-2018-6168, CVE-2018-6169, CVE-2018-6170, CVE-2018-6171, CVE-2018-6172, CVE-2018-6173, CVE-2018-6174, CVE-2018-6175, CVE-2018-6176, CVE-2018-6177, CVE-2018-6178, CVE-2018-6179.

Более подробная информация:

В веб-браузере chromium было обнаружено несколько уязвимостей.

CVE-2018-4117
AhsanEjaz обнаружил утечку информации.
CVE-2018-6044
Роб Ву обнаружил возможность поднять привилегии с помощью расширений.
CVE-2018-6150
Роб Ву обнаружил раскрытие информации (эта проблемы была исправлена в предыдущем выпуске, но по ошибке в то время сообщение об исправлении было пропущено).
CVE-2018-6151
Роб Ву обнаружил проблему в инструментах разработчика (эта проблемы была исправлена в предыдущем выпуске, но по ошибке в то время сообщение об исправлении было пропущено).
CVE-2018-6152
Роб Ву обнаружил проблему в инструментах разработчика (эта проблемы была исправлена в предыдущем выпуске, но по ошибке в то время сообщение об исправлении было пропущено).
CVE-2018-6153
Чжэнь Чжоу обнаружил переполнение буфера в библиотеке skia.
CVE-2018-6154
Omair обнаружил переполнение буфера в реализации WebGL.
CVE-2018-6155
Натали Сильванович обнаружила использование указателей после освобождения памяти в реализации WebRTC.
CVE-2018-6156
Натали Сильванович обнаружила переполнение буфера в реализации WebRTC.
CVE-2018-6157
Натали Сильванович обнаружила путаницу в типах в реализации WebRTC.
CVE-2018-6158
Чжэ Цзинь обнаружил использование указателей после освобождения памяти.
CVE-2018-6159
Цзюнь Кокатсу обнаружил возможность обхода правила одного источника.
CVE-2018-6161
Цзюнь Кокатсу обнаружил возможность обхода правила одного источника.
CVE-2018-6162
Omair обнаружил переполнение буфера в реализации WebGL.
CVE-2018-6163
Халил Жани обнаружил возможность подделки URL.
CVE-2018-6164
Цзюнь Кокатсу обнаружил возможность обхода правила одного источника.
CVE-2018-6165
evil1m0 обнаружил возможность подделки URL.
CVE-2018-6166
Линас Чжан обнаружил возможность подделки URL.
CVE-2018-6167
Линас Чжан обнаружил возможность подделки URL.
CVE-2018-6168
Гюнеш Акар и Дэнни Хуан обнаружили способ обхода правила разделения ресурсов между источниками.
CVE-2018-6169
Sam P обнаружил способ обхода ограничений прав доступа при установке расширений.
CVE-2018-6170
В библиотеке pdfium была обнаружена путаница типов.
CVE-2018-6171
В реализации WebBluetooth было обнаружено использование указателей после освобождения памяти.
CVE-2018-6172
Халил Жани обнаружил возможность подделки URL.
CVE-2018-6173
Халил Жани обнаружил возможность подделки URL.
CVE-2018-6174
Марк Бранд обнаружил переполнение целых чисел в библиотеке swiftshader.
CVE-2018-6175
Халил Жани обнаружил возможность подделки URL.
CVE-2018-6176
Янн Хорн обнаружил возможность поднятия привилегий при использовании расширений.
CVE-2018-6177
Рон Масас обнаружил утечку информации.
CVE-2018-6178
Халил Жани обнаружил возможность подделки пользовательского интерфейса.
CVE-2018-6179
Было обнаружено, что информация о локальных файлах может быть доступна дополнениями.

Также данная версия исправляет регрессию, появившуюся в предыдущем обновлении безопасности, которая может помешать декодированию определённых аудио/видео кодеков.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 68.0.3440.75-1~deb9u1.

Рекомендуется обновить пакеты chromium-browser.

С подробным статусом поддержки безопасности chromium-browser можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/chromium-browser