Рекомендация Debian по безопасности

DSA-4638-1 chromium -- обновление безопасности

Дата сообщения:
10.03.2020
Затронутые пакеты:
chromium
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2019-19880, CVE-2019-19923, CVE-2019-19925, CVE-2019-19926, CVE-2020-6381, CVE-2020-6382, CVE-2020-6383, CVE-2020-6384, CVE-2020-6385, CVE-2020-6386, CVE-2020-6387, CVE-2020-6388, CVE-2020-6389, CVE-2020-6390, CVE-2020-6391, CVE-2020-6392, CVE-2020-6393, CVE-2020-6394, CVE-2020-6395, CVE-2020-6396, CVE-2020-6397, CVE-2020-6398, CVE-2020-6399, CVE-2020-6400, CVE-2020-6401, CVE-2020-6402, CVE-2020-6403, CVE-2020-6404, CVE-2020-6405, CVE-2020-6406, CVE-2020-6407, CVE-2020-6408, CVE-2020-6409, CVE-2020-6410, CVE-2020-6411, CVE-2020-6412, CVE-2020-6413, CVE-2020-6414, CVE-2020-6415, CVE-2020-6416, CVE-2020-6418, CVE-2020-6420.
Более подробная информация:

В веб-браузере chromium было обнаружено несколько уязвимостей.

  • CVE-2019-19880

    Ричард Лоренц обнаружил проблему в библиотеке sqlite.

  • CVE-2019-19923

    Ричард Лоренц обнаружил чтение за пределами выделенного буфера памяти в библиотеке sqlite.

  • CVE-2019-19925

    Ричард Лоренц обнаружил проблему в библиотеке sqlite.

  • CVE-2019-19926

    Ричард Лоренц обнаружил ошибку реализации в библиотеке sqlite.

  • CVE-2020-6381

    Сотрудники National Cyber Security Centre Великобритании обнаружили переполнение целых чисел в javascript-библиотеке v8.

  • CVE-2020-6382

    Союен Парк и Вэнь Сюй обнаружили ошибку типов в javascript-библиотеке v8.

  • CVE-2020-6383

    Сергей Глазунов обнаружил ошибку типов в javascript-библиотеке v8.

  • CVE-2020-6384

    Давид Манучери обнаружил использование указателей после освобождения памяти в WebAudio.

  • CVE-2020-6385

    Сергей Глазунов обнаружил ошибку применения правил.

  • CVE-2020-6386

    Чжэ Цзинь обнаружил использование указателей после освобождения памяти в коде обработки речи.

  • CVE-2020-6387

    Натали Сильванович обнаружила запись за пределами выделенного буфера памяти в реализации WebRTC.

  • CVE-2020-6388

    Сергей Глазунов обнаружил чтение за пределами выделенного буфера памяти в реализации WebRTC.

  • CVE-2020-6389

    Натали Сильванович обнаружила запись за пределами выделенного буфера памяти в реализации WebRTC.

  • CVE-2020-6390

    Сергей Глазунов обнаружил чтение за пределами выделенного буфера памяти.

  • CVE-2020-6391

    Михал Бентковский обнаружил, что входных данные из недоверенного источника проверяются недостаточно.

  • CVE-2020-6392

    Команда Microsoft Edge обнаружила ошибку применения правил.

  • CVE-2020-6393

    Марк Амери обнаружил ошибку применения правил.

  • CVE-2020-6394

    Фил Фрео обнаружил ошибку применения правил.

  • CVE-2020-6395

    Вьер Ланглуа обнаружил чтение за пределами выделенного буфера памяти в javascript-библиотеке v8.

  • CVE-2020-6396

    Уильям Люк Ритчи обнаружил ошибку в библиотеке skia.

  • CVE-2020-6397

    Халил Жани обнаружил ошибку пользовательского интерфейса.

  • CVE-2020-6398

    pdknsk обнаружил неинициализированную переменную в библиотеке pdfium.

  • CVE-2020-6399

    Луан Геррера обнаружил ошибку применения правил.

  • CVE-2020-6400

    Такаши Йонеучи обнаружил ошибку в коде разделения ресурсов между источниками.

  • CVE-2020-6401

    Тзахи Хореш обнаружил, что пользовательские входные данные проверяются недостаточно.

  • CVE-2020-6402

    Владимир Метнев обнаружил ошибку применения правил.

  • CVE-2020-6403

    Халил Жани обнаружил ошибку пользовательского интерфейса.

  • CVE-2020-6404

    kanchi обнаружил ошибку в Blink/Webkit.

  • CVE-2020-6405

    Юнхэн Чэнь и Жуй Чжун обнаружили чтение за пределами выделенного буфера памяти в библиотеке sqlite.

  • CVE-2020-6406

    Сергей Глазунов обнаружил использование указателей после освобождения памяти.

  • CVE-2020-6407

    Сергей Глазунов обнаружил чтение за пределами выделенного буфера памяти.

  • CVE-2020-6408

    Чжун Чжаочэнь обнаружил ошибку применения правил в коде разделения ресурсов между источниками.

  • CVE-2020-6409

    Дивагар С. и Бхарати В. обнаружили ошибку в реализации omnibox.

  • CVE-2020-6410

    evil1m0 обнаружил ошибку применения правил.

  • CVE-2020-6411

    Халил Жани обнаружил, что пользовательские входные данные проверяются недостаточно.

  • CVE-2020-6412

    Цзыхань Чжэн обнаружил, что пользовательские данные проверяются недостаточно.

  • CVE-2020-6413

    Михал Бентковский обнаружил ошибку в Blink/Webkit.

  • CVE-2020-6414

    Лиджо А. Т. обнаружил ошибку применения правила безопасного просмотра.

  • CVE-2020-6415

    Авихай Коэн обнаружил ошибку реализации в javascript-библиотеке v8.

  • CVE-2020-6416

    Вуджин Оу обнаружил, что входные данные из недоверенного источника проверяются недостаточно.

  • CVE-2020-6418

    Клемен Лесанж обнаружил ошибку типов в javascript-библиотеке v8.

  • CVE-2020-6420

    Тарас Узденов обнаружил ошибку применения правил.

В предыдущем стабильном выпуске (stretch) поддержка безопасности для chromium была прекращена.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 80.0.3987.132-1~deb10u1.

Рекомендуется обновить пакеты chromium.

С подробным статусом поддержки безопасности chromium можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/chromium