openSUSE セキュリティ更新プログラム:chromium(openSUSE-2020-823)

critical Nessus プラグイン ID 138688

言語:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このchromium用更新プログラムでは、次の問題を修正します:

Chromiumが83.0.4103.97に更新しました(boo#1171910、bsc#1172496):

- CVE-2020-6463: ANGLEでのメモリ解放後使用(boo#1170107 boo#1171975)。

- CVE-2020-6465: リーダーモードにおけるメモリ解放後使用。2020年4月21日にSTEALIENのWoojin Oh氏(@pwn_exploit)が報告

- CVE-2020-6466: メディアにおけるメモリ解放後使用(Use After Free)。2020年4月26日にQihoo 360のcdsrcからのZhe Jin氏が報告

- CVE-2020-6467: WebRTCでのメモリ解放後使用(Use After Free)。2020年4月6日にZhanJia Song氏が報告

- CVE-2020-6468: V8における型の取り違え。2020年4月30日にSeaside SecurityのChris Salls氏とJake Corina氏、ShellphishのChani Jindal氏が報告

- CVE-2020-6469: 開発者ツールにおける不十分なポリシー実施。2020年4月2日にDavid Erceg氏が報告

- CVE-2020-6470: クリップボードにおける信頼できない入力の不十分な検証2020年3月30日にSecuritumのMichal Bentkowski氏が報告

- CVE-2020-6471: 開発者ツールにおける不十分なポリシー実施。2020年3月8日にDavid Erceg氏が報告

- CVE-2020-6472: 開発者ツールにおける不十分なポリシー実施。2020年3月25日にDavid Erceg氏が報告

- CVE-2020-6473: Blinkにおける不十分なポリシー実施。
2020年2月6日にSoroush Karami氏とPanagotis Ilia氏が報告

- CVE-2020-6474: Blinkのメモリ解放後使用(Use-After-Free)。2020年3月7日にQihoo 360のcdsrcからのZhe Jin氏が報告

- CVE-2020-6475: 全画面における不適切なセキュリティUI。
2019年10月31日にKhalil Zhani氏が報告

- CVE-2020-6476: タブストリップにおける不十分なポリシー実施。2019年12月18日にAlexandre Le Borgne氏が報告

- CVE-2020-6477: インストーラーにおける不適切な実装。2019年3月26日にRACK911 Labsが報告

- CVE-2020-6478: 全画面における不適切な実装。2019年12月24日にKhalil Zhani氏が報告

- CVE-2020-6479: 共有における不適切な実装。
2020年1月14日にandsecurity.cnのZhong Zhaochen氏が報告

- CVE-2020-6480: エンタープライズにおける不十分なポリシー実施。2020年2月21日にMarvin Witt氏が報告

- CVE-2020-6481: URL書式設定における不十分なポリシー実施。2020年4月7日にRayyan Bijoora氏が報告

- CVE-2020-6482: 開発者ツールにおける不十分なポリシー実施。2017年12月17日にAbdulrahman Alqabandi(@qab)氏が報告

- CVE-2020-6483: 支払における不十分なポリシー実施。2019年5月23日にMicrosoft Browser Vulnerability ResearchのJun Kokatsu氏が報告

- CVE-2020-6484: ChromeDriverにおける不十分なデータ検証。2020年1月26日にArtem Zinenko氏が報告

- CVE-2020-6485: メディアルーターにおける不十分なデータ検証。2020年1月30日にGoogle Project ZeroのSergei Glazunov氏が報告

- CVE-2020-6486: ナビゲーションにおける不十分なポリシー実施。2020年2月24日にDavid Erceg氏が報告

- CVE-2020-6487: ダウンロードにおける不十分なポリシー実施。2015年10月6日にJun Kokatsu(@shhnjk)氏が報告

- CVE-2020-6488: ダウンロードにおける不十分なポリシー実施。2020年1月21日に、David Erceg氏により報告されました

- CVE-2020-6489: 開発者ツールにおける不適切な実装。2020年2月10日に@lovasoa(Ophir LOJKINE)氏が報告

- CVE-2020-6490: ローダーにおける不十分なデータ検証。
2019年12月19日にTwitterが報告

- CVE-2020-6491: サイト情報における不適切なセキュリティUI。2020年2月7日にSultan Haikal M.A氏が報告

- CVE-2020-6493: WebAuthenticationにおけるメモリ解放後使用(Use After Free)

- CVE-2020-6494: 支払での不適切なセキュリティUI。

- CVE-2020-6495: 開発者ツールにおける不十分なポリシー実施。

- CVE-2020-6496: 支払でのメモリ解放後使用(Use After Free)。

ソリューション

影響を受けるChromiumパッケージを更新してください。

関連情報

https://bugzilla.opensuse.org/show_bug.cgi?id=1170107

https://bugzilla.opensuse.org/show_bug.cgi?id=1171910

https://bugzilla.opensuse.org/show_bug.cgi?id=1171975

https://bugzilla.opensuse.org/show_bug.cgi?id=1172496

プラグインの詳細

深刻度: Critical

ID: 138688

ファイル名: openSUSE-2020-823.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/7/20

更新日: 2022/5/13

サポートされているセンサー: Nessus Agent

リスク情報

CVSS スコアのソース: CVE-2020-6496

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: AV:N/AC:M/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Critical

Base Score: 9.6

Temporal Score: 8.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:chromedriver-debuginfo, p-cpe:/a:novell:opensuse:chromium, p-cpe:/a:novell:opensuse:chromium-debuginfo, p-cpe:/a:novell:opensuse:chromium-debugsource, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/6/17

脆弱性公開日: 2020/5/21

参照情報

CVE: CVE-2020-6463, CVE-2020-6465, CVE-2020-6466, CVE-2020-6467, CVE-2020-6468, CVE-2020-6469, CVE-2020-6470, CVE-2020-6471, CVE-2020-6472, CVE-2020-6473, CVE-2020-6474, CVE-2020-6475, CVE-2020-6476, CVE-2020-6477, CVE-2020-6478, CVE-2020-6479, CVE-2020-6480, CVE-2020-6481, CVE-2020-6482, CVE-2020-6483, CVE-2020-6484, CVE-2020-6485, CVE-2020-6486, CVE-2020-6487, CVE-2020-6488, CVE-2020-6489, CVE-2020-6490, CVE-2020-6491, CVE-2020-6493, CVE-2020-6494, CVE-2020-6495, CVE-2020-6496