openSUSE セキュリティ更新プログラム:chromium(openSUSE-2020-823)
critical Nessus プラグイン ID 138688
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このchromium用更新プログラムでは、次の問題を修正します:Chromiumが83.0.4103.97に更新しました(boo#1171910、bsc#1172496):
- CVE-2020-6463: ANGLEでのメモリ解放後使用(boo#1170107 boo#1171975)。
- CVE-2020-6465: リーダーモードにおけるメモリ解放後使用。2020年4月21日にSTEALIENのWoojin Oh氏(@pwn_exploit)が報告
- CVE-2020-6466: メディアにおけるメモリ解放後使用(Use After Free)。2020年4月26日にQihoo 360のcdsrcからのZhe Jin氏が報告
- CVE-2020-6467: WebRTCでのメモリ解放後使用(Use After Free)。2020年4月6日にZhanJia Song氏が報告
- CVE-2020-6468: V8における型の取り違え。2020年4月30日にSeaside SecurityのChris Salls氏とJake Corina氏、ShellphishのChani Jindal氏が報告
- CVE-2020-6469: 開発者ツールにおける不十分なポリシー実施。2020年4月2日にDavid Erceg氏が報告
- CVE-2020-6470: クリップボードにおける信頼できない入力の不十分な検証2020年3月30日にSecuritumのMichal Bentkowski氏が報告
- CVE-2020-6471: 開発者ツールにおける不十分なポリシー実施。2020年3月8日にDavid Erceg氏が報告
- CVE-2020-6472: 開発者ツールにおける不十分なポリシー実施。2020年3月25日にDavid Erceg氏が報告
- CVE-2020-6473: Blinkにおける不十分なポリシー実施。
2020年2月6日にSoroush Karami氏とPanagotis Ilia氏が報告
- CVE-2020-6474: Blinkのメモリ解放後使用(Use-After-Free)。2020年3月7日にQihoo 360のcdsrcからのZhe Jin氏が報告
- CVE-2020-6475: 全画面における不適切なセキュリティUI。
2019年10月31日にKhalil Zhani氏が報告
- CVE-2020-6476: タブストリップにおける不十分なポリシー実施。2019年12月18日にAlexandre Le Borgne氏が報告
- CVE-2020-6477: インストーラーにおける不適切な実装。2019年3月26日にRACK911 Labsが報告
- CVE-2020-6478: 全画面における不適切な実装。2019年12月24日にKhalil Zhani氏が報告
- CVE-2020-6479: 共有における不適切な実装。
2020年1月14日にandsecurity.cnのZhong Zhaochen氏が報告
- CVE-2020-6480: エンタープライズにおける不十分なポリシー実施。2020年2月21日にMarvin Witt氏が報告
- CVE-2020-6481: URL書式設定における不十分なポリシー実施。2020年4月7日にRayyan Bijoora氏が報告
- CVE-2020-6482: 開発者ツールにおける不十分なポリシー実施。2017年12月17日にAbdulrahman Alqabandi(@qab)氏が報告
- CVE-2020-6483: 支払における不十分なポリシー実施。2019年5月23日にMicrosoft Browser Vulnerability ResearchのJun Kokatsu氏が報告
- CVE-2020-6484: ChromeDriverにおける不十分なデータ検証。2020年1月26日にArtem Zinenko氏が報告
- CVE-2020-6485: メディアルーターにおける不十分なデータ検証。2020年1月30日にGoogle Project ZeroのSergei Glazunov氏が報告
- CVE-2020-6486: ナビゲーションにおける不十分なポリシー実施。2020年2月24日にDavid Erceg氏が報告
- CVE-2020-6487: ダウンロードにおける不十分なポリシー実施。2015年10月6日にJun Kokatsu(@shhnjk)氏が報告
- CVE-2020-6488: ダウンロードにおける不十分なポリシー実施。2020年1月21日に、David Erceg氏により報告されました
- CVE-2020-6489: 開発者ツールにおける不適切な実装。2020年2月10日に@lovasoa(Ophir LOJKINE)氏が報告
- CVE-2020-6490: ローダーにおける不十分なデータ検証。
2019年12月19日にTwitterが報告
- CVE-2020-6491: サイト情報における不適切なセキュリティUI。2020年2月7日にSultan Haikal M.A氏が報告
- CVE-2020-6493: WebAuthenticationにおけるメモリ解放後使用(Use After Free)
- CVE-2020-6494: 支払での不適切なセキュリティUI。
- CVE-2020-6495: 開発者ツールにおける不十分なポリシー実施。
- CVE-2020-6496: 支払でのメモリ解放後使用(Use After Free)。
ソリューション
影響を受けるChromiumパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1170107
https://bugzilla.opensuse.org/show_bug.cgi?id=1171910
プラグインの詳細
深刻度: Critical
ID: 138688
ファイル名: openSUSE-2020-823.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/7/20
更新日: 2024/2/29
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2020-6496
CVSS v3
リスクファクター: Critical
基本値: 9.6
現状値: 8.6
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2020-6493
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:chromedriver-debuginfo, p-cpe:/a:novell:opensuse:chromium, p-cpe:/a:novell:opensuse:chromium-debuginfo, p-cpe:/a:novell:opensuse:chromium-debugsource, cpe:/o:novell:opensuse:15.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2020/6/17
脆弱性公開日: 2020/5/21
参照情報
CVE: CVE-2020-6463, CVE-2020-6465, CVE-2020-6466, CVE-2020-6467, CVE-2020-6468, CVE-2020-6469, CVE-2020-6470, CVE-2020-6471, CVE-2020-6472, CVE-2020-6473, CVE-2020-6474, CVE-2020-6475, CVE-2020-6476, CVE-2020-6477, CVE-2020-6478, CVE-2020-6479, CVE-2020-6480, CVE-2020-6481, CVE-2020-6482, CVE-2020-6483, CVE-2020-6484, CVE-2020-6485, CVE-2020-6486, CVE-2020-6487, CVE-2020-6488, CVE-2020-6489, CVE-2020-6490, CVE-2020-6491, CVE-2020-6493, CVE-2020-6494, CVE-2020-6495, CVE-2020-6496