検出

openSUSEセキュリティ更新プログラム:chromium(openSUSE-2019-1666)

high Nessus プラグイン ID 126368

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このchromium用更新プログラムでは、以下の問題を修正します。

Chromiumが75.0.3770.90に更新されました(boo#1137332 boo#1138287):

 - CVE-2019-5842:Blink の use-after-free。

75.0.3770.80boo#1137332に更新されました:

 - CVE-2019-5828:ServiceWorkerのメモリ解放後使用(Use After Free)

 - CVE-2019-5829:Download Managerのメモリ解放後使用(Use After Free)

 - CVE-2019-5830:CORSにおけるリクエストの不適切な認証

 - CVE-2019-5831:V8における不適切なマップ処理

 - CVE-2019-5832:XHRにおけるCORSの不適切な処理

 - CVE-2019-5833:セキュリティUIの一貫性のない配置

 - CVE-2019-5835:Swiftshaderにおける領域外読み取り

 - CVE-2019-5836:Angleでのヒープバッファオーバーフロー

 - CVE-2019-5837:Appcacheにおけるオリジン間リソースのサイズ漏洩

 - CVE-2019-5838:拡張機能における過度に権限を付与されたタブアクセス

 - CVE-2019-5839:Blinkにおける特定のコードポイントの不適切な処理

 - CVE-2019-5840:ポップアップブロッカーのバイパス

 - 内部監査、ファジング、およびその他のイニシアチブからのさまざまな修正

 - CVE-2019-5834:iOSでのOmniboxにおけるURLスプーフィング

74.0.3729.169への更新:

 - 機能修正は更新のみ

74.0.3729.157への更新:

 - 内部監査、ファジング、およびその他のイニシアチブからのさまざまなセキュリティ修正

74.0.3729.131からのセキュリティの修正が含まれています(boo#1134218)

 - CVE-2019-5827:SQLiteにおける領域外アクセス

 - CVE-2019-5824:メディアプレーヤーのパラメーター受け渡しエラー

74.0.3729.108 boo#1133313への更新:

 - CVE-2019-5805:PDFiumにおけるメモリ解放後使用(Use-After-Free)

 - CVE-2019-5806:Angleでの整数オーバーフロー

 - CVE-2019-5807:V8 でのメモリ破損

 - CVE-2019-5808:Blink の use-after-free

 - CVE-2019-5809:Blink の use-after-free

 - CVE-2019-5810:Autofillでのユーザー情報漏洩

 - CVE-2019-5811:BlinkでのCORSバイパス

 - CVE-2019-5813:V8における領域外読み取り

 - CVE-2019-5814:BlinkでのCORSバイパス

 - CVE-2019-5815:Blinkでのヒープバッファオーバーフロー

 - CVE-2019-5818:メディアリーダーの初期化されない値

 - CVE-2019-5819:開発者ツールの不正なエスケープ

 - CVE-2019-5820:PDFiumでの整数オーバーフロー

 - CVE-2019-5821:PDFiumでの整数オーバーフロー

 - CVE-2019-5822:ダウンロードマネージャーのCORSバイパス

 - CVE-2019-5823:サービスワーカーからの強制ナビゲーション

 - CVE-2019-5812:iOSでのOmniboxにおけるURLスプーフィング

 - CVE-2019-5816:Androidの持続的な拡張機能の悪用

 - CVE-2019-5817:WindowsのAngleでのヒープバッファオーバーフロー

73.0.3686.103への更新:

 - さまざまな機能修正

73.0.3683.86への更新:

 - 周囲の機能修正のみ

 - TW+でシステムharfbuzzを使用するための条件を更新します

 - ビルド中にjavaが必要です

 - 可能な場合はpipewireの使用を有効にします

 - Fedoraのものに一致させるためchromium-vaapi.patchをリベースします

73.0.3683.75 boo#1129059への更新:

 - CVE-2019-5787:Canvasのメモリ解放後使用(Use After Free)。

 - CVE-2019-5788:FileAPIのメモリ解放後使用(Use After Free)。

 - CVE-2019-5789:WebMIDIのメモリ解放後使用(Use After Free)。

 - CVE-2019-5790:V8でのヒープバッファオーバーフロー。

 - CVE-2019-5791:V8の型の取り違え(Type Confusion)。

 - CVE-2019-5792:PDFiumにおける整数オーバーフロー。

 - CVE-2019-5793:拡張機能のプライベートAPIに対する過剰なアクセス許可。

 - CVE-2019-5794:セキュリティUIのなりすまし。

 - CVE-2019-5795:PDFiumにおける整数オーバーフロー。

 - CVE-2019-5796:拡張機能の競合状態。

 - CVE-2019-5797:DOMStorageの競合状態。

 - CVE-2019-5798:Skiaにおける領域外読み取り。

 - CVE-2019-5799:Blob URLを使用したCSPバイパス。

 - CVE-2019-5800:Blob URLを使用したCSPバイパス。

 - CVE-2019-5801:iOS上の誤っているOmniboxの表示。

 - CVE-2019-5802:セキュリティUIのなりすまし。

 - CVE-2019-5803:Javascript URLを使用したCSPバイパス。

 - CVE-2019-5804:Windowsでのコマンドラインのコマンドインジェクション。

ソリューション

影響を受けるChromiumパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1129059

https://bugzilla.opensuse.org/show_bug.cgi?id=1133313

https://bugzilla.opensuse.org/show_bug.cgi?id=1134218

https://bugzilla.opensuse.org/show_bug.cgi?id=1137332

https://bugzilla.opensuse.org/show_bug.cgi?id=1138287

プラグインの詳細

深刻度: High

ID: 126368

ファイル名: openSUSE-2019-1666.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2019/7/1

更新日: 2020/9/23

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 7.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:chromedriver-debuginfo, p-cpe:/a:novell:opensuse:chromium, p-cpe:/a:novell:opensuse:chromium-debuginfo, p-cpe:/a:novell:opensuse:chromium-debugsource, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/6/28

脆弱性公開日: 2019/5/23

参照情報

CVE: CVE-2019-5787, CVE-2019-5788, CVE-2019-5789, CVE-2019-5790, CVE-2019-5791, CVE-2019-5792, CVE-2019-5793, CVE-2019-5794, CVE-2019-5795, CVE-2019-5796, CVE-2019-5797, CVE-2019-5798, CVE-2019-5799, CVE-2019-5800, CVE-2019-5801, CVE-2019-5802, CVE-2019-5803, CVE-2019-5804, CVE-2019-5805, CVE-2019-5806, CVE-2019-5807, CVE-2019-5808, CVE-2019-5809, CVE-2019-5810, CVE-2019-5811, CVE-2019-5812, CVE-2019-5813, CVE-2019-5814, CVE-2019-5815, CVE-2019-5816, CVE-2019-5817, CVE-2019-5818, CVE-2019-5819, CVE-2019-5820, CVE-2019-5821, CVE-2019-5822, CVE-2019-5823, CVE-2019-5824, CVE-2019-5827, CVE-2019-5828, CVE-2019-5829, CVE-2019-5830, CVE-2019-5831, CVE-2019-5832, CVE-2019-5833, CVE-2019-5834, CVE-2019-5835, CVE-2019-5836, CVE-2019-5837, CVE-2019-5838, CVE-2019-5839, CVE-2019-5840, CVE-2019-5842