検出

Debian DSA-2706-1:chromium-browser - 複数の脆弱性

critical Nessus プラグイン ID 66852

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Chromium Web ブラウザでいくつかの脆弱性が発見されました。

- CVE-2013-2855 27.0.1453.110 より前の Chromium の Developer Tools API により、リモートの攻撃者が不明なベクトルを介して、サービス拒否(メモリ破損)を引き起こしたり、詳細不明な他の影響を与えたりする可能性があります。

- CVE-2013-2856 27.0.1453.110 より前の Chromium の use-after-free の脆弱性により、入力処理に関連するベクトルを介して、リモートの攻撃者がサービス拒否を引き起こしたり、詳細不明なその他の影響を与えたりする可能性があります。

- CVE-2013-2857 27.0.1453.110 より前の Chromium の use-after-free の脆弱性により、画像処理に関連するベクトルを介して、リモートの攻撃者がサービス拒否を引き起こしたり、詳細不明なその他の影響を与えたりする可能性があります。

- CVE-2013-2858 27.0.1453.110 より前の Chromium の HTML5 Audio 実装の use-after-free の脆弱性により、リモートの攻撃者が不明なベクトルを介して、サービス拒否を引き起こしたり、詳細不明な他の影響を与えたりする可能性があります。

- CVE-2013-2859 27.0.1453.110 より前の Chromium では、リモートの攻撃者が、詳細不明なベクトルを介して、同一生成元ポリシーをバイパスし、名前空間の汚染を発生させることが可能です。

- CVE-2013-2860 27.0.1453.110 より前の Chromium の use-after-free の脆弱性により、ワーカープロセスによるデータベース API へのアクセスに関連するベクトルを介して、リモートの攻撃者がサービス拒否を引き起こしたり、詳細不明なその他の影響を与えたりする可能性があります。

- CVE-2013-2861 27.0.1453.110 より前の Chromium の SVG 実装の use-after-free の脆弱性により、リモートの攻撃者が不明なベクトルを介して、サービス拒否を引き起こしたり、詳細不明な他の影響を与えたりする可能性があります。

- CVE-2013-2862 27.0.1453.110 より前の Chromium で使用される Skia は、GPU アクセラレーションを適切に処理しません。これにより、リモートの攻撃者がサービス拒否(メモリ破損)を引き起こしたり、不明なベクトルを介して詳細不明な他の影響を与えたりする可能性があります。

- CVE-2013-2863 27.0.1453.110 より前の Chromium は、SSL ソケットを適切に処理しません。これにより、リモートの攻撃者が詳細不明なベクトルを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こすことが可能です。

- CVE-2013-2865 27.0.1453.110 より前の Chromium の複数の詳細不明な脆弱性により、攻撃者が不明なベクトルを介して、サービス拒否を引き起こしたり、他の影響を与えたりする可能性があります。

ソリューション

chromium-browser パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(wheezy)では、これらの問題はバージョン 27.0.1453.110-1+deb7u1 で修正されています。

参考資料

https://security-tracker.debian.org/tracker/CVE-2013-2855

https://security-tracker.debian.org/tracker/CVE-2013-2856

https://security-tracker.debian.org/tracker/CVE-2013-2857

https://security-tracker.debian.org/tracker/CVE-2013-2858

https://security-tracker.debian.org/tracker/CVE-2013-2859

https://security-tracker.debian.org/tracker/CVE-2013-2860

https://security-tracker.debian.org/tracker/CVE-2013-2861

https://security-tracker.debian.org/tracker/CVE-2013-2862

https://security-tracker.debian.org/tracker/CVE-2013-2863

https://security-tracker.debian.org/tracker/CVE-2013-2865

https://packages.debian.org/source/wheezy/chromium-browser

https://www.debian.org/security/2013/dsa-2706

プラグインの詳細

深刻度: Critical

ID: 66852

ファイル名: debian_DSA-2706.nasl

バージョン: 1.11

タイプ: local

エージェント: unix

公開日: 2013/6/11

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:chromium-browser, cpe:/o:debian:debian_linux:7.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/6/10

参照情報

CVE: CVE-2013-2855, CVE-2013-2856, CVE-2013-2857, CVE-2013-2858, CVE-2013-2859, CVE-2013-2860, CVE-2013-2861, CVE-2013-2862, CVE-2013-2863, CVE-2013-2865

BID: 60395, 60396, 60397, 60398, 60399, 60400, 60401, 60403, 60404, 60405

DSA: 2706