Рекомендация Debian по безопасности

DSA-4256-1 chromium-browser -- обновление безопасности

Дата сообщения:
26.07.2018
Затронутые пакеты:
chromium-browser
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2018-4117, CVE-2018-6044, CVE-2018-6150, CVE-2018-6151, CVE-2018-6152, CVE-2018-6153, CVE-2018-6154, CVE-2018-6155, CVE-2018-6156, CVE-2018-6157, CVE-2018-6158, CVE-2018-6159, CVE-2018-6161, CVE-2018-6162, CVE-2018-6163, CVE-2018-6164, CVE-2018-6165, CVE-2018-6166, CVE-2018-6167, CVE-2018-6168, CVE-2018-6169, CVE-2018-6170, CVE-2018-6171, CVE-2018-6172, CVE-2018-6173, CVE-2018-6174, CVE-2018-6175, CVE-2018-6176, CVE-2018-6177, CVE-2018-6178, CVE-2018-6179.
Более подробная информация:

В веб-браузере chromium было обнаружено несколько уязвимостей.

  • CVE-2018-4117

    AhsanEjaz обнаружил утечку информации.

  • CVE-2018-6044

    Роб Ву обнаружил возможность поднять привилегии с помощью расширений.

  • CVE-2018-6150

    Роб Ву обнаружил раскрытие информации (эта проблемы была исправлена в предыдущем выпуске, но по ошибке в то время сообщение об исправлении было пропущено).

  • CVE-2018-6151

    Роб Ву обнаружил проблему в инструментах разработчика (эта проблемы была исправлена в предыдущем выпуске, но по ошибке в то время сообщение об исправлении было пропущено).

  • CVE-2018-6152

    Роб Ву обнаружил проблему в инструментах разработчика (эта проблемы была исправлена в предыдущем выпуске, но по ошибке в то время сообщение об исправлении было пропущено).

  • CVE-2018-6153

    Чжэнь Чжоу обнаружил переполнение буфера в библиотеке skia.

  • CVE-2018-6154

    Omair обнаружил переполнение буфера в реализации WebGL.

  • CVE-2018-6155

    Натали Сильванович обнаружила использование указателей после освобождения памяти в реализации WebRTC.

  • CVE-2018-6156

    Натали Сильванович обнаружила переполнение буфера в реализации WebRTC.

  • CVE-2018-6157

    Натали Сильванович обнаружила путаницу в типах в реализации WebRTC.

  • CVE-2018-6158

    Чжэ Цзинь обнаружил использование указателей после освобождения памяти.

  • CVE-2018-6159

    Цзюнь Кокатсу обнаружил возможность обхода правила одного источника.

  • CVE-2018-6161

    Цзюнь Кокатсу обнаружил возможность обхода правила одного источника.

  • CVE-2018-6162

    Omair обнаружил переполнение буфера в реализации WebGL.

  • CVE-2018-6163

    Халил Жани обнаружил возможность подделки URL.

  • CVE-2018-6164

    Цзюнь Кокатсу обнаружил возможность обхода правила одного источника.

  • CVE-2018-6165

    evil1m0 обнаружил возможность подделки URL.

  • CVE-2018-6166

    Линас Чжан обнаружил возможность подделки URL.

  • CVE-2018-6167

    Линас Чжан обнаружил возможность подделки URL.

  • CVE-2018-6168

    Гюнеш Акар и Дэнни Хуан обнаружили способ обхода правила разделения ресурсов между источниками.

  • CVE-2018-6169

    Sam P обнаружил способ обхода ограничений прав доступа при установке расширений.

  • CVE-2018-6170

    В библиотеке pdfium была обнаружена путаница типов.

  • CVE-2018-6171

    В реализации WebBluetooth было обнаружено использование указателей после освобождения памяти.

  • CVE-2018-6172

    Халил Жани обнаружил возможность подделки URL.

  • CVE-2018-6173

    Халил Жани обнаружил возможность подделки URL.

  • CVE-2018-6174

    Марк Бранд обнаружил переполнение целых чисел в библиотеке swiftshader.

  • CVE-2018-6175

    Халил Жани обнаружил возможность подделки URL.

  • CVE-2018-6176

    Янн Хорн обнаружил возможность поднятия привилегий при использовании расширений.

  • CVE-2018-6177

    Рон Масас обнаружил утечку информации.

  • CVE-2018-6178

    Халил Жани обнаружил возможность подделки пользовательского интерфейса.

  • CVE-2018-6179

    Было обнаружено, что информация о локальных файлах может быть доступна дополнениями.

Также данная версия исправляет регрессию, появившуюся в предыдущем обновлении безопасности, которая может помешать декодированию определённых аудио/видео кодеков.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 68.0.3440.75-1~deb9u1.

Рекомендуется обновить пакеты chromium-browser.

С подробным статусом поддержки безопасности chromium-browser можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/chromium-browser