检测

Google Chrome < 44.0.2403.89 多种漏洞

high Nessus 插件 ID 84921

语言:

简介

远程 Windows 主机包含受多种漏洞影响的 Web 浏览器。

描述

远程 Windows 主机上安装的 Google Chrome 版本低于 44.0.2403.89。因此,它受到多种漏洞的影响:

- ICU 中存在未初始化内存读取缺陷,攻击者可利用此缺陷造成不明影响。
 (CVE-2015-1270)

- 由于没有正确验证用户提供的输入,PDFium 中存在堆缓冲区溢出情况。攻击者可以利用这个问题执行任意代码或造成拒绝服务。(CVE-2015-1271、CVE-2015-1273)

- GPU 进程意外终止时存在一个释放后使用内存错误。攻击者可利用此问题造成不明影响。
 (CVE-2015-1272)

- 文件自动下载的设置允许自动打开 EXE 文件,可导致执行恶意代码。(CVE-2015-1274)

- 由于没有正确验证“intent://”URL,Android 版 Google Chrome 中存在一个通用跨站脚本 (UXSS) 漏洞。攻击者可以使用特别构建的请求,利用此缺陷执行任意脚本代码。(CVE-2015-1275)

- IndexedDB 中存在一个释放后使用内存错误,可允许攻击者执行任意代码。
 (CVE-2015-1276)

- 由于 ui::AXTree::Unserialize 方法中存在一个释放后使用内存错误,导致拒绝服务漏洞。攻击者可利用此漏洞造成崩溃。(CVE-2015-1277)

- 处理 PDF 文件时存在不明缺陷,使攻击者能够欺骗 URL。(CVE-2015-1278)

- 由于未正确验证用户提供的输入,JBig2_Image.cpp 文件的 CJBig2_Image::expand() 方法中存在整数溢出情况。攻击者可以利用此漏洞造成基于堆的缓冲区溢出,从而导致拒绝服务或执行任意代码。(CVE-2015-1279)

- 由于未正确验证用户提供的输入,Google Skia 中存在缺陷,攻击者可利用此缺陷破坏内存或执行任意代码。
 (CVE-2015-1280)

- 存在不明缺陷,攻击者可利用此缺陷绕过内容安全策略。(CVE-2015-1281)

- javascript/Document.cpp 文件的 PDFium 中存在一个释放后使用内存错误。攻击者可以使用构建的文件,利用此缺陷执行任意代码。(CVE-2015-1282)

-“expat”中存在一个堆缓冲区溢出情况。
 没有其他可用信息。(CVE-2015-1283)

- Blink 中存在一个释放后使用内存错误,可允许攻击者执行任意代码。
 (CVE-2015-1284)

- XSS 审计器中存在不明缺陷,可允许攻击者访问敏感信息。(CVE-2015-1285)

- 由于未正确验证不明输入,Blink 中存在通用跨站脚本 (UXSS) 漏洞。攻击者可以使用构建的请求,利用此缺陷执行任意脚本代码。
 (CVE-2015-1286)

- WebKit 中存在缺陷,与处理 CSS MIME 类型的怪异模式异常有关,可允许攻击者绕过跨源策略。
 (CVE-2015-1287)

- spellcheck_hunspell_dictionary.cc 文件中存在缺陷(与通过 HTTP 下载拼写检查器字典有关),可允许中间人破坏下载的字典。(CVE-2015-1288)

- 内部审核、模糊测试和其他计划泄露出多种漏洞,这些漏洞可导致拒绝服务、执行任意代码或其他中等至严重的影响。
 (CVE-2015-1289)

解决方案

升级到 Google Chrome 44.0.2403.89 或更高版本。

另见

http://www.nessus.org/u?50bc47d5

插件详情

严重性: High

ID: 84921

文件名: google_chrome_44_0_2403_89.nasl

版本: 1.10

类型: local

代理: windows

系列: Windows

发布时间: 2015/7/22

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2015-1289

漏洞信息

CPE: cpe:/a:google:chrome

必需的 KB 项: SMB/Google_Chrome/Installed

易利用性: No known exploits are available

补丁发布日期: 2015/7/21

漏洞发布日期: 2015/2/6

参考资料信息

CVE: CVE-2015-1270, CVE-2015-1271, CVE-2015-1272, CVE-2015-1273, CVE-2015-1274, CVE-2015-1275, CVE-2015-1276, CVE-2015-1277, CVE-2015-1278, CVE-2015-1279, CVE-2015-1280, CVE-2015-1281, CVE-2015-1282, CVE-2015-1283, CVE-2015-1284, CVE-2015-1285, CVE-2015-1286, CVE-2015-1287, CVE-2015-1288, CVE-2015-1289

BID: 75973