Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4289-1 chromium-browser

Bulletin d'alerte Debian

DSA-4289-1 chromium-browser -- Mise à jour de sécurité

Date du rapport :

7 septembre 2018

Paquets concernés :

chromium-browser

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-16065, CVE-2018-16066, CVE-2018-16067, CVE-2018-1606.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium.

• CVE-2018-16065

  Brendon Tiszka a découvert un problème d'écriture hors limites dans la bibliothèque JavaScript V8.

• CVE-2018-16066

  cloudfuzzer a découvert un problème de lecture hors limites dans Blink et WebKit.

• CVE-2018-16067

  Zhe Jin a découvert un problème de lecture hors limites dans l'implémentation de WebAudio.

• CVE-2018-16068

  Mark Brand a découvert un problème d'écriture hors limites dans la bibliothèque Mojo de transmission de messages.

• CVE-2018-16069

  Mark Brand a découvert un problème de lecture hors limites dans la bibliothèque swiftshader.

• CVE-2018-16070

  Ivan Fratric a découvert un problème de dépassement d'entier dans la bibliothèque skia.

• CVE-2018-16071

  Natalie Silvanovich a découvert un problème d'utilisation de mémoire après libération dans l'implémentation de WebRTC.

• CVE-2018-16073

  Jun Kokatsu a découvert une erreur dans la fonctionnalité « isolation des sites » lors de la restauration des onglets du navigateur.

• CVE-2018-16074

  Jun Kokatsu a découvert une erreur dans la fonctionnalité « isolation des sites » lors de l'utilisation d'une URL Blob.

• CVE-2018-16075

  Pepe Vila a découvert une erreur qui pourrait permettre à des sites distants d'accéder à des fichiers locaux.

• CVE-2018-16076

  Aseksandar Nikolic a découvert un problème de lecture hors limites dans la bibliothèque pdfium.

• CVE-2018-16077

  Manuel Caballero a découvert un moyen de contourner le « Content Security Policy ».

• CVE-2018-16078

  Cailan Sacks a découvert que la fonctionnalité Autofill pourrait divulguer des informations sur les cartes de crédit enregistrées.

• CVE-2018-16079

  Markus Vervier et Michele Orrù ont découvert un problème d'usurpation d'URL.

• CVE-2018-16080

  Khalil Zhani a découvert un problème d'usurpation d'URL.

• CVE-2018-16081

  Jann Horn a découvert qu'il pourrait être possible d'accéder à des fichiers locaux dans les outils de développement.

• CVE-2018-16082

  Omair a découvert un problème de dépassement de tampon dans la bibliothèque swiftshader.

• CVE-2018-16083

  Natalie Silvanovich a découvert un problème de lecture hors limites dans l'implémentation de WebRTC.

• CVE-2018-16084

  Jun Kokatsu a découvert un moyen de contourner un dialogue de confirmation d'utilisateur.

• CVE-2018-16085

  Roman Kuksin a découvert un problème d'utilisation de mémoire après libération.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 69.0.3497.81-1~deb9u1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.

Pour disposer d'un état détaillé sur la sécurité de chromium-browser, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/chromium-browser.