openSUSEセキュリティ更新プログラム:chromium(openSUSE-2018-381)
high Nessus プラグイン ID 109236
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このChromiumのバージョン66.0.3359.117への更新では、次の問題が修正されます:修正されたセキュリティ問題(boo#1090000):
- CVE-2018-6085:ディスクキャッシュにおけるメモリ解放後使用(Use-After-Free)
- CVE-2018-6086:ディスクキャッシュにおけるメモリ解放後使用(Use-After-Free)
- CVE-2018-6087:WebAssemblyにおけるメモリ解放後使用(Use After Free)
- CVE-2018-6088:PDFiumにおけるメモリ解放後使用(Use-After-Free)
- CVE-2018-6089:Service Workerの同一オリジンポリシーバイパス
- CVE-2018-6090:Skiaにおけるヒープバッファオーバーフロー
- CVE-2018-6091:Service Workerによるプラグインの不適切な処理
- CVE-2018-6092:WebAssemblyにおける整数オーバーフロー
- CVE-2018-6093:Service Workerの同一オリジンバイパス
- CVE-2018-6094:Oilpanにおける悪化したリグレッションの悪用
- CVE-2018-6095:ファイルアップロード前の有効なユーザー接続要求の欠如
- CVE-2018-6096:フルスクリーンUIのなりすまし
- CVE-2018-6097:フルスクリーンUIのなりすまし
- CVE-2018-6098:OmniboxにおけるURLなりすまし
- CVE-2018-6099:ServiceWorkerにおけるCORSバイパス
- CVE-2018-6100:OmniboxにおけるURLなりすまし
- CVE-2018-6101:DevToolsのリモートデバッグプロトコルの保護が不十分
- CVE-2018-6102:OmniboxにおけるURLなりすまし
- CVE-2018-6103:権限におけるのUIなりすまし
- CVE-2018-6104:OmniboxにおけるURLなりすまし
- CVE-2018-6105:OmniboxにおけるURLなりすまし
- CVE-2018-6106:V8におけるプロミスの不適切な処理
- CVE-2018-6107:OmniboxにおけるURLなりすまし
- CVE-2018-6108:OmniboxにおけるURLなりすまし
- CVE-2018-6109:FileAPIによるファイルの不適切な処理
- CVE-2018-6110:file: //
- CVE-2018-6111:Devツールにおけるheap-use-after-free
- CVE-2018-6112:DevToolsにおける誤ったURL処理
- CVE-2018-6113:ナビゲーションにおけるURLなりすまし
- CVE-2018-6114:CSP バイパス
- CVE-2018-6115:ダウンロードの際のSmartScreenバイパス
- CVE-2018-6116:WebAssemblyにおける低メモリの不適切な処理
- CVE-2018-6117:わかりにくいオートフィル設定
- 内部監査、ファジング、およびその他のイニシアチブからのさまざまな修正。この更新は、Spectreの脆弱性に対する緩和策もサポートしています:「厳密なサイト分離」がほとんどのユーザーに対して無効になっています。次の方法で有効にすることができます:
chrome://flags/#enable-site-per-process この機能は、ごく一部のトライアルを受けています。次の方法でトライアルを抜けることができます:
chrome://flags/#site-isolation-trial-opt-out
他にも次のような変更が含まれています:
- 2016年6月1日より前にSymantecによって発行された証明書を信頼しません
- 保存されたパスワードをエクスポートするためのオプションを追加します
- 音を伴って自動再生される動画を減らします
- boo#1086199:大きな画像をロード/スケールダウンする際のUIフリーズを修正します
この更新には、多数のUpstreamのバグ修正と改善も含まれています。
ソリューション
影響を受ける Chromium パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 109236
ファイル名: openSUSE-2018-381.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/4/23
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:chromedriver-debuginfo, p-cpe:/a:novell:opensuse:chromium, p-cpe:/a:novell:opensuse:chromium-debuginfo, p-cpe:/a:novell:opensuse:chromium-debugsource, cpe:/o:novell:opensuse:42.3
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2018/4/20
参照情報
CVE: CVE-2018-6085, CVE-2018-6086, CVE-2018-6087, CVE-2018-6088, CVE-2018-6089, CVE-2018-6090, CVE-2018-6091, CVE-2018-6092, CVE-2018-6093, CVE-2018-6094, CVE-2018-6095, CVE-2018-6096, CVE-2018-6097, CVE-2018-6098, CVE-2018-6099, CVE-2018-6100, CVE-2018-6101, CVE-2018-6102, CVE-2018-6103, CVE-2018-6104, CVE-2018-6105, CVE-2018-6106, CVE-2018-6107, CVE-2018-6108, CVE-2018-6109, CVE-2018-6110, CVE-2018-6111, CVE-2018-6112, CVE-2018-6113, CVE-2018-6114, CVE-2018-6115, CVE-2018-6116, CVE-2018-6117