検出

openSUSEセキュリティ更新プログラム:chromium(openSUSE-2018-546)

critical Nessus プラグイン ID 110275

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このchromiumのバージョン66.0.3359.181への更新では、次の問題が修正されます:

次のセキュリティ問題が修正されました(boo#1095163):

 - CVE-2018-6123:Blinkのメモリ解放後使用(Use-After-Free)。

 - CVE-2018-6124:Blink での型の取り違え(Type Confusion)。

 - CVE-2018-6125:WebUSBの過剰なパーミッションポリシー。

 - CVE-2018-6126:Skiaにおけるヒープバッファオーバーフロー。

 - CVE-2018-6127:indexedDBにおけるメモリ解放後使用(Use After Free)。

 - CVE-2018-6128:iOSのChromeのuXSS。

 - CVE-2018-6129:WebRTCにおける領域外メモリアクセス。

 - CVE-2018-6130:WebRTCにおける領域外メモリアクセス。

 - CVE-2018-6131:WebAssemblyの誤った変更保護。

 - CVE-2018-6132:WebRTCの初期化されていないメモリ使用。

 - CVE-2018-6133:OmniboxにおけるURLなりすまし。

 - CVE-2018-6134:Blinkにおけるリファラーポリシーのバイパス。

 - CVE-2018-6135:BlinkにおけるUIなりすまし。

 - CVE-2018-6136:V8における領域外メモリアクセス。

 - CVE-2018-6137:Blinkのページ訪問履歴の漏洩。

 - CVE-2018-6138:拡張機能の過剰なパーミッションポリシー。

 - CVE-2018-6139:デバッガ拡張機能APIにおける制限のバイパス。

 - CVE-2018-6140:デバッガ拡張機能APIにおける制限のバイパス。

 - CVE-2018-6141:Skiaにおけるヒープバッファオーバーフロー。

 - CVE-2018-6142:V8における領域外メモリアクセス。

 - CVE-2018-6143:V8における領域外メモリアクセス。

 - CVE-2018-6144:PDFium での領域外メモリアクセス。

 - CVE-2018-6145:BlinkにおけるMathMLの不適切なエスケープ。

 - CVE-2018-6147:ViewsのOS保護を利用していないパスワードフィールド。

追加の変更:

 - Autoplay:Web Audioのデスクトップで強制的に有効にします。この更新により、大部分のユーザーに対して「厳密なサイト分離」機能が有効になります。この機能は、Spectreの脆弱性に対する緩和策です。次の方法で有効にできます:chrome://flags/#enable-site-per-process。次の方法で無効にできます:
 chrome://flags/#site-isolation-trial-opt-out

ソリューション

影響を受ける Chromium パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1095163

プラグインの詳細

深刻度: Critical

ID: 110275

ファイル名: openSUSE-2018-546.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

公開日: 2018/6/1

更新日: 2024/9/26

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 7.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2018-6140

CVSS v3

リスクファクター: Critical

基本値: 9.6

現状値: 8.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2018-6127

脆弱性情報

CPE: cpe:/o:novell:opensuse:15.0, p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:chromedriver-debuginfo, p-cpe:/a:novell:opensuse:chromium-debugsource, p-cpe:/a:novell:opensuse:chromium-debuginfo, p-cpe:/a:novell:opensuse:chromium, cpe:/o:novell:opensuse:42.3

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2018/5/31

参照情報

CVE: CVE-2018-6123, CVE-2018-6124, CVE-2018-6125, CVE-2018-6126, CVE-2018-6127, CVE-2018-6128, CVE-2018-6129, CVE-2018-6130, CVE-2018-6131, CVE-2018-6132, CVE-2018-6133, CVE-2018-6134, CVE-2018-6135, CVE-2018-6136, CVE-2018-6137, CVE-2018-6138, CVE-2018-6139, CVE-2018-6140, CVE-2018-6141, CVE-2018-6142, CVE-2018-6143, CVE-2018-6144, CVE-2018-6145, CVE-2018-6147