openSUSEセキュリティ更新プログラム:chromium(openSUSE-2019-2152)

critical Nessus プラグイン ID 129279

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このchromium用の77.0.3865.75への更新プログラムでは、以下の問題を修正します:

キャッシュサイドチャネル攻撃の軽減:

- CVE-2019-5870:メディア内のメモリ解放後使用(Use After Free)を修正しました。
(boo#1150425)

- CVE-2019-5871:Skiaにおけるヒープオーバーフローを修正した。
(boo#1150425)

- CVE-2019-5872:Mojo内のメモリ解放後使用(Use After Free)を修正しました(boo#1150425)

- CVE-2019-5874:外部URIが他のブラウザをトリガーする動作を修正しました。(boo#1150425)

- CVE-2019-5875:ダウンロードリダイレクトを介したURLバーの偽装を修正しました。(boo#1150425)

- CVE-2019-5876:メディア内のメモリ解放後使用(Use After Free)を修正しました(boo#1150425)

- CVE-2019-5877:V8の領域外アクセスを修正しました。
(boo#1150425)

- CVE-2019-5878:V8内のメモリ解放後使用(Use After Free)を修正しました。
(boo#1150425)

- CVE-2019-5879:同一生成元ポリシーのバイパスを可能にする拡張の問題を修正しました。(boo#1150425)

- CVE-2019-5880:SameSiteのクッキーのバイパスを修正しました。
(boo#1150425)

- CVE-2019-5881:SwiftShaderでの任意の読み取りを修正しました。
(boo#1150425)

- CVE-2019-13659:URLのなりすましを修正しました。(boo#1150425)

- CVE-2019-13660:全画面通知のオーバーラップを修正しました。(boo#1150425)

- CVE-2019-13661:全画面通知のなりすましを修正しました。
(boo#1150425)

- CVE-2019-13662:CSPバイパスを修正しました。(boo#1150425)

- CVE-2019-13663:IDNのなりすましを修正しました。(boo#1150425)

- CVE-2019-13664:CSRFバイパスを修正しました。(boo#1150425)

- CVE-2019-13665:複数ファイルのダウンロード保護のバイパスを修正しました。(boo#1150425)

- CVE-2019-13666:ストレージサイズの見積もりを使用するサイドチャネルの弱点を修正しました。(boo#1150425)

- CVE-2019-13667:外部アプリのURIを使用するときのURIバーの偽装を修正しました。(boo#1150425)

- CVE-2019-13668:コンソールからのグローバルウィンドウの漏洩を修正しました。
(boo#1150425)

- CVE-2019-13669:HTTP認証のなりすましを修正しました。
(boo#1150425)

- CVE-2019-13670:正規表現のV8メモリ破損を修正しました。
(boo#1150425)

- CVE-2019-13671:生成元を表示できないダイアログボックスを修正しました。(boo#1150425)

- CVE-2019-13673:devtoolsを使用するクロスオリジン情報漏洩が修正されました。(boo#1150425)

- CVE-2019-13674:IDNなりすましの可能性を修正しました。
(boo#1150425)

- CVE-2019-13675:拡張を末尾のスラッシュで無効にできるエラーを修正しました。(boo#1150425)

- CVE-2019-13676:証明書警告のGoogle URIを誤って表示していた問題を修正しました。(boo#1150425)

- CVE-2019-13677:Chrome Webストアオリジンの分離の欠如を修正しました。(boo#1150425)

- CVE-2019-13678:ダウンロードダイアログの偽装の可能性を修正しました。(boo#1150425)

- CVE-2019-13679:印刷のためのユーザージェスチャの必要性を修正しました。(boo#1150425)

- CVE-2019-13680:IPアドレスなりすましエラーを修正しました。
(boo#1150425)

- CVE-2019-13681:ダウンロード制限のバイパスを修正しました。
(boo#1150425)

- CVE-2019-13682:サイト分離バイパスを修正しました。
(boo#1150425)

- CVE-2019-13683:devtoolsによって漏洩される例外を修正しました。
(boo#1150425)

ソリューション

影響を受けるChromiumパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1150425

プラグインの詳細

深刻度: Critical

ID: 129279

ファイル名: openSUSE-2019-2152.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2019/9/24

更新日: 2022/5/23

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-5878

CVSS v3

リスクファクター: Critical

Base Score: 9.6

Temporal Score: 8.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:chromedriver-debuginfo, p-cpe:/a:novell:opensuse:chromium, p-cpe:/a:novell:opensuse:chromium-debuginfo, p-cpe:/a:novell:opensuse:chromium-debugsource, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/9/19

脆弱性公開日: 2019/11/25

参照情報

CVE: CVE-2019-13659, CVE-2019-13660, CVE-2019-13661, CVE-2019-13662, CVE-2019-13663, CVE-2019-13664, CVE-2019-13665, CVE-2019-13666, CVE-2019-13667, CVE-2019-13668, CVE-2019-13669, CVE-2019-13670, CVE-2019-13671, CVE-2019-13673, CVE-2019-13674, CVE-2019-13675, CVE-2019-13676, CVE-2019-13677, CVE-2019-13678, CVE-2019-13679, CVE-2019-13680, CVE-2019-13681, CVE-2019-13682, CVE-2019-13683, CVE-2019-5870, CVE-2019-5871, CVE-2019-5872, CVE-2019-5874, CVE-2019-5875, CVE-2019-5876, CVE-2019-5877, CVE-2019-5878, CVE-2019-5879, CVE-2019-5880, CVE-2019-5881