検出

DebianDSA-4256-1:chromiumブラウザ - セキュリティ更新

critical Nessus プラグイン ID 111360

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

Chromium Webブラウザで複数の脆弱性が発見されました。

 - CVE-2018-4117AhsanEjaz氏は、情報漏洩を発見しました。

 - CVE-2018-6044Rob Wu氏は、拡張を使用して権限を昇格する方法を発見しました。

 - CVE-2018-6150Rob Wu氏は、情報漏洩の問題を発見しました(この問題は以前のリリースで修正されましたが、その時のアップストリームの発表から誤って削除されていました)。

 - CVE-2018-6151Rob Wu氏は、開発ツールで問題を発見しました(この問題は以前のリリースで修正されましたが、その時のアップストリームの発表から誤って削除されていました)。

 - CVE-2018-6152Rob Wu氏は、開発ツールで問題を発見しました(この問題は以前のリリースで修正されましたが、その時のアップストリームの発表から誤って削除されていました)。

 - CVE-2018-6153Zhen Zhou氏は、skiaライブラリでバッファオーバーフローの問題を発見しました。

 - CVE-2018-6154Omair氏は、WebGLの実装でバッファオーバーフローの問題を発見しました。

 - CVE-2018-6155Natalie Silvanovich氏は、WebRTC実装でメモリ解放後使用の問題を発見しました。

 - CVE-2018-6156Natalie Silvanovich氏は、WebRTC実装でバッファオーバーフローの問題を発見しました。

 - CVE-2018-6157Natalie Silvanovich氏は、WebRTC実装で型の取り違え(Type Confusion)の問題を発見しました。

 - CVE-2018-6158Zhe Jin氏は、Use-After-Freeの問題を発見しました。

 - CVE-2018-6159Jun Kokatsu氏は、同一生成元ポリシーを回避する手段を発見しました。

 - CVE-2018-6161Jun Kokatsu氏は、同一生成元ポリシーを回避する手段を発見しました。

 - CVE-2018-6162Omair氏は、WebGLの実装でバッファオーバーフローの問題を発見しました。

 - CVE-2018-6163Khalil Zhani氏は、URLのスプーフィング問題を発見しました。

 - CVE-2018-6164Jun Kokatsu氏は、同一生成元ポリシーを回避する手段を発見しました。

 - CVE-2018-6165evil1m0が、URLのスプーフィング問題を発見しました。

 - CVE-2018-6166Lynas Zhang氏は、URLのスプーフィング問題を発見しました。

 - CVE-2018-6167Lynas Zhang氏は、URLのスプーフィング問題を発見しました。

 - CVE-2018-6168Gunes Acar氏とDanny Y. Huang氏は、クロスオリジンリソース共有ポリシーをバイパスする方法を発見しました。

 - CVE-2018-6169Sam P氏は、拡張機能をインストールする際に権限をバイパスする方法を発見しました。

 - CVE-2018-6170pdfiumライブラリで型の取り違え(Type Confusion)の問題が発見されました。

 - CVE-2018-6171WebBluetooth実装でUse-After-Freeの問題が発見されました。

 - CVE-2018-6172Khalil Zhani氏は、URLのスプーフィング問題を発見しました。

 - CVE-2018-6173Khalil Zhani氏は、URLのスプーフィング問題を発見しました。

 - CVE-2018-6174Mark Brand氏は、swiftshaderライブラリに整数オーバーフローの問題を発見しました。

 - CVE-2018-6175Khalil Zhani氏は、URLのスプーフィング問題を発見しました。

 - CVE-2018-6176Jann Horn氏は、拡張を使用して権限を昇格する方法を発見しました。

 - CVE-2018-6177Ron Masas氏は、情報漏洩を発見しました。

 - CVE-2018-6178Khalil Zhani氏は、ユーザーインターフェイスのスプーフィング問題を発見しました。

 - CVE-2018-6179システムにとってローカルなファイルに関する情報が、拡張に漏洩する可能性があることが判明しました。

このバージョンは、特定のオーディオ/ビデオコーデックの復号を妨げる可能性がある、以前のセキュリティ更新で導入された回帰も修正します。

ソリューション

chromium-browserパッケージをアップグレードしてください。

安定版(stable)ディストリビューション(stretch)では、これらの問題はバージョン68.0.3440.75-1~deb9u1で修正されています。

参考資料

https://security-tracker.debian.org/tracker/CVE-2018-4117

https://security-tracker.debian.org/tracker/CVE-2018-6044

https://security-tracker.debian.org/tracker/CVE-2018-6150

https://security-tracker.debian.org/tracker/CVE-2018-6151

https://security-tracker.debian.org/tracker/CVE-2018-6152

https://security-tracker.debian.org/tracker/CVE-2018-6153

https://security-tracker.debian.org/tracker/CVE-2018-6154

https://security-tracker.debian.org/tracker/CVE-2018-6155

https://security-tracker.debian.org/tracker/CVE-2018-6156

https://security-tracker.debian.org/tracker/CVE-2018-6157

https://security-tracker.debian.org/tracker/CVE-2018-6158

https://security-tracker.debian.org/tracker/CVE-2018-6159

https://security-tracker.debian.org/tracker/CVE-2018-6161

https://security-tracker.debian.org/tracker/CVE-2018-6162

https://security-tracker.debian.org/tracker/CVE-2018-6163

https://security-tracker.debian.org/tracker/CVE-2018-6164

https://security-tracker.debian.org/tracker/CVE-2018-6165

https://security-tracker.debian.org/tracker/CVE-2018-6166

https://security-tracker.debian.org/tracker/CVE-2018-6167

https://security-tracker.debian.org/tracker/CVE-2018-6168

https://security-tracker.debian.org/tracker/CVE-2018-6169

https://security-tracker.debian.org/tracker/CVE-2018-6170

https://security-tracker.debian.org/tracker/CVE-2018-6171

https://security-tracker.debian.org/tracker/CVE-2018-6172

https://security-tracker.debian.org/tracker/CVE-2018-6173

https://security-tracker.debian.org/tracker/CVE-2018-6174

https://security-tracker.debian.org/tracker/CVE-2018-6175

https://security-tracker.debian.org/tracker/CVE-2018-6176

https://security-tracker.debian.org/tracker/CVE-2018-6177

https://security-tracker.debian.org/tracker/CVE-2018-6178

https://security-tracker.debian.org/tracker/CVE-2018-6179

http://www.nessus.org/u?e33901a2

https://packages.debian.org/source/stretch/chromium-browser

https://www.debian.org/security/2018/dsa-4256

プラグインの詳細

深刻度: Critical

ID: 111360

ファイル名: debian_DSA-4256.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2018/7/27

更新日: 2019/7/15

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:chromium-browser, cpe:/o:debian:debian_linux:9.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

パッチ公開日: 2018/7/26

脆弱性公開日: 2018/4/3

参照情報

CVE: CVE-2018-4117, CVE-2018-6044, CVE-2018-6150, CVE-2018-6151, CVE-2018-6152, CVE-2018-6153, CVE-2018-6154, CVE-2018-6155, CVE-2018-6156, CVE-2018-6157, CVE-2018-6158, CVE-2018-6159, CVE-2018-6161, CVE-2018-6162, CVE-2018-6163, CVE-2018-6164, CVE-2018-6165, CVE-2018-6166, CVE-2018-6167, CVE-2018-6168, CVE-2018-6169, CVE-2018-6170, CVE-2018-6171, CVE-2018-6172, CVE-2018-6173, CVE-2018-6174, CVE-2018-6175, CVE-2018-6176, CVE-2018-6177, CVE-2018-6178, CVE-2018-6179

DSA: 4256