Debian DSA-3238-1:chromium 浏览器 - 安全更新

high Nessus 插件 ID 83120

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在 chromium Web 浏览器中发现多个漏洞。

- CVE-2015-1235 在 HTML 解析器中发现同源策略绕过问题。

- CVE-2015-1236 Amitay Dobo 在 Web 音频 API 中发现同源策略绕过。

- CVE-2015-1237 Khalil Zhani 在 IPC 中发现释放后使用问题。

- CVE-2015-1238 “cloudfuzzer”在 skia 库中发现越界写入。

- CVE-2015-1240 “w3bd3vil”在 WebGL 实现中发现越界读取。

- CVE-2015-1241 Phillip Moon 和 Matt Weston 发现一种通过构建的网站远程触发本地用户界面操作的方式。

- CVE-2015-1242 在 v8 JavaScript 库中发现类型混淆问题。

- CVE-2015-1244 Mike Ruddy 发现一种绕过 HTTP 严格传输安全策略的方式。

- CVE-2015-1245 Khalil Zhani 在 pdfium 库中发现释放后使用问题。

- CVE-2015-1246 Atte Kettunen 在 webkit/blink 中发现越界读取问题。

- CVE-2015-1247 Jann Horn 发现未审查 OpenSearch 文档中的“file:”URL,当从构建的网站使用 OpenSearch 功能时,这可允许远程读取本地文件。

- CVE-2015-1248 Vittorio Gambaletta 发现一种绕过 SafeBrowsing 功能的方式,这可允许远程执行下载的可执行文件。

- CVE-2015-1249 chrome 41 开发团队通过内部模糊测试、审计和其他研究发现各种问题。

- CVE-2015-3333 在 v8 4.2.7.14 中发现并修复了多种问题。

- CVE-2015-3334 已发现远程网站可在无权限的情况下从附加的 Web 摄像头捕获视频数据。

- CVE-2015-3336 已发现远程网站可造成用户界面中断,如 Window 全屏和鼠标指针锁定。

解决方案

升级 chromium-browser 程序包。

对于稳定发行版本 (jessie),已在版本 42.0.2311.90-1~deb8u1 中修复这些问题。

另见

https://security-tracker.debian.org/tracker/CVE-2015-1235

https://security-tracker.debian.org/tracker/CVE-2015-1236

https://security-tracker.debian.org/tracker/CVE-2015-1237

https://security-tracker.debian.org/tracker/CVE-2015-1238

https://security-tracker.debian.org/tracker/CVE-2015-1240

https://security-tracker.debian.org/tracker/CVE-2015-1241

https://security-tracker.debian.org/tracker/CVE-2015-1242

https://security-tracker.debian.org/tracker/CVE-2015-1244

https://security-tracker.debian.org/tracker/CVE-2015-1245

https://security-tracker.debian.org/tracker/CVE-2015-1246

https://security-tracker.debian.org/tracker/CVE-2015-1247

https://security-tracker.debian.org/tracker/CVE-2015-1248

https://security-tracker.debian.org/tracker/CVE-2015-1249

https://security-tracker.debian.org/tracker/CVE-2015-3333

https://security-tracker.debian.org/tracker/CVE-2015-3334

https://security-tracker.debian.org/tracker/CVE-2015-3336

https://packages.debian.org/source/jessie/chromium-browser

https://www.debian.org/security/2015/dsa-3238

插件详情

严重性: High

ID: 83120

文件名: debian_DSA-3238.nasl

版本: 2.14

类型: local

代理: unix

发布时间: 2015/4/29

最近更新时间: 2021/1/11

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:chromium-browser, cpe:/o:debian:debian_linux:8.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2015/4/26

漏洞发布日期: 2015/4/19

参考资料信息

CVE: CVE-2015-1235, CVE-2015-1236, CVE-2015-1237, CVE-2015-1238, CVE-2015-1240, CVE-2015-1241, CVE-2015-1242, CVE-2015-1244, CVE-2015-1245, CVE-2015-1246, CVE-2015-1247, CVE-2015-1248, CVE-2015-1249, CVE-2015-3333, CVE-2015-3334, CVE-2015-3336

BID: 74165, 74167, 74221, 74225, 74227

DSA: 3238