偵測

Google Chrome < 60.0.3112.78 多個弱點

high Nessus Plugin ID 101980

語系:

概要

遠端 Windows 主機上安裝的網頁瀏覽器會受到多個弱點影響。

說明

遠端 Windows 主機上安裝的 Google Chrome 版本比 60.0.3112.78 舊。因此,會受到以下弱點影響:- IndexedDB 中存在一個釋放後使用錯誤,這是因為在交易期間不當處理游標所導致。未經驗證的遠端攻擊者可利用此弱點執行任意程式碼。(CVE-2017-5091) - PPAPI 元件中存在一個釋放後使用錯誤,其允許未經驗證的遠端攻擊者執行任意程式碼。(CVE-2017-5092) - Blink 中存在一個不明缺陷,會在全螢幕模式中顯示 JavaScript 警示時觸發。未經驗證的遠端攻擊者可惡意利用此缺陷,在使用者介面中偽造元件。(CVE-2017-5093) -「擴充繫結」元件中存在一個類型混淆錯誤,會在傳送事件篩選時觸發。未經驗證的遠端攻擊者可利用此弱點執行任意程式碼。(CVE-2017-5094) - PDFium 中存在一個溢位情形,這是因為不當驗證使用者提供的輸入所導致。未經驗證的遠端攻擊者可惡意利用此情形,藉此引發拒絕服務情形或執行任意程式碼。(CVE-2017-5095) - 存在一個與「Android 意圖」有關的不明缺陷,其允許未經驗證的遠端攻擊者洩漏敏感資訊。(CVE-2017-5096) - Skia 中存在一個超出邊界讀取錯誤,這是因不當處理動詞陣列所致。未經驗證的遠端攻擊者可惡意利用此錯誤,藉此引發拒絕服務情形或執行任意程式碼。(CVE-2017-5097) - Google V8 中存有一個釋放後使用錯誤,其允許未經驗證的遠端攻擊者執行任意程式碼。(CVE-2017-5098) - PPAPI 元件中存在一個超出邊界寫入錯誤,其允許未經驗證的遠端攻擊者執行任意程式碼。(CVE-2017-5099) -「Chrome 應用程式」元件中存在一個釋放後使用錯誤,其允許未經驗證的遠端攻擊者造成不明影響。(CVE-2017-5100) - OmniBox 元件中存在多個不明缺陷,其允許未經驗證的遠端攻擊者在位址列中偽造 URL。(CVE-2017-5101、CVE-2017-5105) - Skia 中存在多個未初始化記憶體使用缺陷,其允許未經驗證的遠端攻擊者造成不明影響。(CVE-2017-5102、CVE-2017-5103) - 存在多個不明缺陷,其允許未經驗證的遠端攻擊者在使用者介面中偽造元件。(CVE-2017-5104、CVE-2017-5109) - OmniBox 中存在一個缺陷,會在位址列中轉譯含有任意 Cyrillic 字母的網域名稱時觸發。未經驗證的遠端攻擊者可惡意利用此缺陷,透過特製的網域名稱,在位址列中偽造 URL。(CVE-2017-5106) - SVG 篩選元件中存在一個缺陷,這是因不當處理浮點乘法所致。未經驗證的遠端攻擊者可加以惡意利用,透過定時攻擊來擷取敏感的使用者資訊。(CVE-2017-5107) - Google V8 中存在一個類型混淆錯誤,其允許未經驗證的遠端攻擊者造成不明影響。(CVE-2017-5108) -「付款」對話方塊中存在一個不明缺陷,其允許未經驗證的遠端攻擊者在使用者介面中偽造元件。(CVE-2017-5110) - SQLite 中存在一個類型混淆錯誤,這是因不當驗證使用者提供的輸入所致。未經驗證的遠端攻擊者可利用此弱點執行任意程式碼。(CVE-2017-7000) 請注意,Nessus 並未嘗試惡意利用這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級版本至 Google Chrome 60.0.3112.78 或更新版本。

另請參閱

http://www.nessus.org/u?36f62a15

Plugin 詳細資訊

嚴重性: High

ID: 101980

檔案名稱: google_chrome_60_0_3112_78.nasl

版本: 1.9

類型: local

代理程式: windows

系列: Windows

已發布: 2017/7/26

已更新: 2022/4/11

組態: 啟用徹底檢查

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2017-7000

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:google:chrome

必要的 KB 項目: SMB/Google_Chrome/Installed

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/7/25

弱點發布日期: 2017/2/27

參考資訊

CVE: CVE-2017-5091, CVE-2017-5092, CVE-2017-5093, CVE-2017-5094, CVE-2017-5095, CVE-2017-5096, CVE-2017-5097, CVE-2017-5098, CVE-2017-5099, CVE-2017-5100, CVE-2017-5101, CVE-2017-5102, CVE-2017-5103, CVE-2017-5104, CVE-2017-5105, CVE-2017-5106, CVE-2017-5107, CVE-2017-5108, CVE-2017-5109, CVE-2017-5110, CVE-2017-7000

BID: 99950