Debian DSA-4256-1:chromium 浏览器 - 安全更新

critical Nessus 插件 ID 111360

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已发现在 Chromium Web 浏览器中存在多个漏洞。- CVE-2018-4117 AhsanEjaz 发现一个信息泄露问题。- CVE-2018-6044 Rob Wu 发现一种可利用扩展提升权限的方法。- CVE-2018-6150 Rob Wu 发现一个信息泄露问题(此问题在上一个版本中已修复,但在当时的上游公告中被错误地忽略)。- CVE-2018-6151 Rob Wu 发现开发人员工具中存在问题(此问题在上一个版本中已修复,但在当时的上游公告中被错误地忽略)。- CVE-2018-6152 Rob Wu 发现开发人员工具中存在问题(此问题在上一个版本中已修复,但在当时的上游公告中被错误地忽略)。- CVE-2018-6153 Zhen Zhou 在 skia 库中发现一个缓冲区溢出问题。- CVE-2018-6154 Omair 在 WebGL 实现中发现一个缓冲区溢出问题。- CVE-2018-6155 Natalie Silvanovich 在 WebRTC 实现中发现一个释放后使用问题。- CVE-2018-6156 Natalie Silvanovich 在 WebRTC 实现中发现一个缓冲区溢出问题。- CVE-2018-6157 Natalie Silvanovich 在 WebRTC 实现中发现一个类型混淆问题。- CVE-2018-6158 Zhe Jin 发现一个释放后使用问题。- CVE-2018-6159 Jun Kokatsu 发现一种方式可绕过同源策略。- CVE-2018-6161 Jun Kokatsu 发现一种方式可绕过同源策略。- CVE-2018-6162 Omair 在 WebGL 实现中发现一个缓冲区溢出问题。- CVE-2018-6163 Khalil Zhani 发现一个 URL 伪造问题。- CVE-2018-6164 Jun Kokatsu 发现一种方式可绕过同源策略。- CVE-2018-6165 evil1m0 发现一个 URL 伪造问题。- CVE-2018-6166 Lynas Zhang 发现一个 URL 伪造问题。- CVE-2018-6167 Lynas Zhang 发现一个 URL 欺骗问题。- CVE-2018-6168 Gunes Acar 和 Danny Y. Huang 发现一种可绕过跨域资源共享策略的方法。- CVE-2018-6169 Sam P 发现一种可在安装扩展时绕过权限的方法。- CVE-2018-6170 在 pdfium 库中发现类型混淆问题。- CVE-2018-6171 在 WebBluetooth 实现中发现一个释放后使用问题。- CVE-2018-6172 Khalil Zhani 发现一个 URL 伪造问题。- CVE-2018-6173 Khalil Zhani 发现一个 URL 伪造问题。- CVE-2018-6174 Mark Brand 在 swiftshader 库中发现一个整数溢出问题。- CVE-2018-6175 Khalil Zhani 发现一个 URL 伪造问题。- CVE-2018-6176 Jann Horn 发现一种可利用扩展提升权限的方法。- CVE-2018-6177 Ron Masas 发现一个信息泄露问题。- CVE-2018-6178 Khalil Zhani 发现一个用户界面伪造问题。- CVE-2018-6179 系统本地文件中发现相关信息可能会泄露给扩展。此版本还修复了之前安全更新中引入的回归,该回归可能阻止特定音频/视频编解码器解码。

解决方案

升级 chromium-browser 程序包。对于稳定发行版本 (stretch),已在版本 68.0.3440.75-1~deb9u1 中修复这些问题。

另见

https://security-tracker.debian.org/tracker/CVE-2018-4117

https://security-tracker.debian.org/tracker/CVE-2018-6044

https://security-tracker.debian.org/tracker/CVE-2018-6150

https://security-tracker.debian.org/tracker/CVE-2018-6151

https://security-tracker.debian.org/tracker/CVE-2018-6152

https://security-tracker.debian.org/tracker/CVE-2018-6153

https://security-tracker.debian.org/tracker/CVE-2018-6154

https://security-tracker.debian.org/tracker/CVE-2018-6155

https://security-tracker.debian.org/tracker/CVE-2018-6156

https://security-tracker.debian.org/tracker/CVE-2018-6157

https://security-tracker.debian.org/tracker/CVE-2018-6158

https://security-tracker.debian.org/tracker/CVE-2018-6159

https://security-tracker.debian.org/tracker/CVE-2018-6161

https://security-tracker.debian.org/tracker/CVE-2018-6162

https://security-tracker.debian.org/tracker/CVE-2018-6163

https://security-tracker.debian.org/tracker/CVE-2018-6164

https://security-tracker.debian.org/tracker/CVE-2018-6165

https://security-tracker.debian.org/tracker/CVE-2018-6166

https://security-tracker.debian.org/tracker/CVE-2018-6167

https://security-tracker.debian.org/tracker/CVE-2018-6168

https://security-tracker.debian.org/tracker/CVE-2018-6169

https://security-tracker.debian.org/tracker/CVE-2018-6170

https://security-tracker.debian.org/tracker/CVE-2018-6171

https://security-tracker.debian.org/tracker/CVE-2018-6172

https://security-tracker.debian.org/tracker/CVE-2018-6173

https://security-tracker.debian.org/tracker/CVE-2018-6174

https://security-tracker.debian.org/tracker/CVE-2018-6175

https://security-tracker.debian.org/tracker/CVE-2018-6176

https://security-tracker.debian.org/tracker/CVE-2018-6177

https://security-tracker.debian.org/tracker/CVE-2018-6178

https://security-tracker.debian.org/tracker/CVE-2018-6179

http://www.nessus.org/u?e33901a2

https://packages.debian.org/source/stretch/chromium-browser

https://www.debian.org/security/2018/dsa-4256

插件详情

严重性: Critical

ID: 111360

文件名: debian_DSA-4256.nasl

版本: 1.8

类型: local

代理: unix

发布时间: 2018/7/27

最近更新时间: 2019/7/15

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

风险因素: Critical

基本分数: 9.6

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:chromium-browser, cpe:/o:debian:debian_linux:9.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

补丁发布日期: 2018/7/26

漏洞发布日期: 2018/4/3

参考资料信息

CVE: CVE-2018-4117, CVE-2018-6044, CVE-2018-6150, CVE-2018-6151, CVE-2018-6152, CVE-2018-6153, CVE-2018-6154, CVE-2018-6155, CVE-2018-6156, CVE-2018-6157, CVE-2018-6158, CVE-2018-6159, CVE-2018-6161, CVE-2018-6162, CVE-2018-6163, CVE-2018-6164, CVE-2018-6165, CVE-2018-6166, CVE-2018-6167, CVE-2018-6168, CVE-2018-6169, CVE-2018-6170, CVE-2018-6171, CVE-2018-6172, CVE-2018-6173, CVE-2018-6174, CVE-2018-6175, CVE-2018-6176, CVE-2018-6177, CVE-2018-6178, CVE-2018-6179

DSA: 4256