GLSA-202210-16 : Chromium、Google Chrome、Microsoft Edge:多个漏洞

high Nessus 插件 ID 166728

语言:

描述

远程主机受到 GLSA-202210-16 中所述漏洞的影响(Chromium、Google Chrome、Microsoft Edge:
多个漏洞)

 - Chrome OS 版 Google Chrome 105.0.5195.125 之前版本的 DevTools 中存在不受信任的输入验证不充分漏洞,已诱骗用户安装恶意扩展程序的攻击者可能利用此漏洞,通过构建的 HTML 页面绕过导航限制。(CVE-2022-3201)

 - Microsoft Edge(基于 Chromium)欺骗漏洞 (CVE-2022-41035)

 - CSS 中的释放后使用漏洞。(CVE-2022-3304)

 - Survey 中的释放后使用漏洞。(CVE-2022-3305、CVE-2022-3306)

 - Media 中的释放后使用漏洞。(CVE-2022-3307)

 - 开发人员工具中的策略执行不充分漏洞。(CVE-2022-3308)

 - Assistant 中的释放后使用漏洞。(CVE-2022-3309)

 - Custom Tabs 中的策略执行不充分漏洞。(CVE-2022-3310)

 - Import 中的释放后使用漏洞。(CVE-2022-3311)

 - VPN 中对不受信任的输入验证不充分的漏洞。(CVE-2022-3312)

 - Full Screen 中存在不正确的安全 UI (CVE-2022-3313)

 - Logging 中的释放后使用漏洞。(CVE-2022-3314)

 - 此 CVE 由 Chrome 分配。Microsoft Edge(基于 Chromium)引入了 Chromium,可解决此漏洞。请参阅 Google Chrome 版本以获取更多信息。(CVE-2022-3315、CVE-2022-3316、CVE-2022-3370、CVE-2022-3373)

 - Intents 中对不受信任的输入验证不充分的漏洞。(CVE-2022-3317)

 - ChromeOS 通知中的释放后使用漏洞。(CVE-2022-3318)

 - Skia 中的释放后使用。(CVE-2022-3445)

 - WebSQL 中的堆缓冲区溢出。(CVE-2022-3446)

 - 自定义选项卡中存在不当实现。(CVE-2022-3447)

 - Permissions API 中的释放后使用。(CVE-2022-3448)

 - 安全浏览中的释放后使用。(CVE-2022-3449)

 - 对等连接中的释放后使用。(CVE-2022-3450)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

所有 Chromium 用户都应当升级至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=www-client/chromium-106.0.5249.119 所有 Chromium 二进制文件用户都应当升级至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=www-client/chromium-bin-106.0.5249.119 所有 Google Chrome 用户都应当升级至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=www-client/google-chrome-106.0.5249.119 所有 Microsoft Edge 用户都应当升级至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose>=www-client/microsoft-edge-106.0.1370.37

另见

https://security.gentoo.org/glsa/202210-16

https://bugs.gentoo.org/show_bug.cgi?id=873217

https://bugs.gentoo.org/show_bug.cgi?id=873817

https://bugs.gentoo.org/show_bug.cgi?id=874855

https://bugs.gentoo.org/show_bug.cgi?id=876855

插件详情

严重性: High

ID: 166728

文件名: gentoo_GLSA-202210-16.nasl

版本: 1.2

类型: local

发布时间: 2022/10/31

最近更新时间: 2022/10/31

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: CVSS2#E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2022-3450

CVSS v3

风险因素: High

基本分数: 8.3

时间分数: 7.2

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2022-41035

漏洞信息

CPE: p-cpe:/a:gentoo:linux:chromium, p-cpe:/a:gentoo:linux:chromium-bin, p-cpe:/a:gentoo:linux:google-chrome, p-cpe:/a:gentoo:linux:microsoft-edge, cpe:/o:gentoo:linux

必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

易利用性: No known exploits are available

补丁发布日期: 2022/10/31

漏洞发布日期: 2022/9/14

参考资料信息

CVE: CVE-2022-3201, CVE-2022-3304, CVE-2022-3305, CVE-2022-3306, CVE-2022-3307, CVE-2022-3308, CVE-2022-3309, CVE-2022-3310, CVE-2022-3311, CVE-2022-3312, CVE-2022-3313, CVE-2022-3314, CVE-2022-3315, CVE-2022-3316, CVE-2022-3317, CVE-2022-3318, CVE-2022-3370, CVE-2022-3373, CVE-2022-3445, CVE-2022-3446, CVE-2022-3447, CVE-2022-3448, CVE-2022-3449, CVE-2022-3450, CVE-2022-41035