偵測

GLSA-202210-16:Chromium、Google Chrome、Microsoft Edge:多個弱點

high Nessus Plugin ID 166728

語系:

說明

遠端主機受到 GLSA-202210-16 中所述的弱點影響 (Chromium、Google Chrome、Microsoft Edge:
多個弱點)

 - Chrome OS 版 Google Chrome 105.0.5195.125 之前版本的 DevTools 中存在對於不受信任的輸入驗證不充分的弱點,成功誘騙使用者安裝惡意延伸模組的攻擊者可利用此弱點,透過特別建構的 HTML 頁面繞過導覽限制。(CVE-2022-3201)

 - Microsoft Edge (基於 Chromium) 竄改弱點。(CVE-2022-41035)

 - CSS 中的釋放後使用弱點。(CVE-2022-3304)

 - Survey 中的釋放後使用弱點。(CVE-2022-3305、CVE-2022-3306)

 - Media 中的釋放後使用弱點。(CVE-2022-3307)

 - 開發人員工具中的原則強制執行不充分弱點。(CVE-2022-3308)

 - Assistant 中的釋放後使用弱點。(CVE-2022-3309)

 - Custom Tabs 中的原則強制執行不充分弱點。(CVE-2022-3310)

 - Import 中的釋放後使用弱點。(CVE-2022-3311)

 - VPN 中對不受信任的輸入驗證不充分的弱點。(CVE-2022-3312)

 - Full Screen 中存在不正確的安全性 UI (CVE-2022-3313)

 - Logging 中的釋放後使用弱點。(CVE-2022-3314)

 - 此 CVE 是由 Chrome 指派。Microsoft Edge (基於 Chromium) 引入 Chromium,解決了此弱點。如需詳細資訊,請參閱 Google Chrome 版本。(CVE-2022-3315、CVE-2022-3316、CVE-2022-3370、CVE-2022-3373)

 - Intents 中存在對非受信任的輸入驗證不足的弱點。(CVE-2022-3317)

 - ChromeOS 通知中的釋放後使用弱點。(CVE-2022-3318)

 - Skia 中的釋放後使用弱點。(CVE-2022-3445)

 - WebSQL 中的堆積型緩衝區溢位弱點。(CVE-2022-3446)

 - Custom Tabs 中的不當實作弱點。(CVE-2022-3447)

 - Permissions API 中的釋放後使用弱點。(CVE-2022-3448)

 - Safe Browsing 中的釋放後使用弱點。(CVE-2022-3449)

 - Peer Connection 中的釋放後使用弱點。(CVE-2022-3450)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

所有 Chromium 使用者都應升級至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=www-client/chromium-106.0.5249.119 所有 Chromium 二進位檔使用者皆應升級至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=www-client/chromium-bin-106.0.5249.119 所有 Google Chrome 使用者皆應升級至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=www-client/google-chrome-106.0.5249.119 所有 Microsoft Edge 使用者皆應升級至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=www-client/microsoft-edge-106.0.1370.37

另請參閱

https://security.gentoo.org/glsa/202210-16

https://bugs.gentoo.org/show_bug.cgi?id=873217

https://bugs.gentoo.org/show_bug.cgi?id=873817

https://bugs.gentoo.org/show_bug.cgi?id=874855

https://bugs.gentoo.org/show_bug.cgi?id=876855

Plugin 詳細資訊

嚴重性: High

ID: 166728

檔案名稱: gentoo_GLSA-202210-16.nasl

版本: 1.3

類型: local

已發布: 2022/10/31

已更新: 2023/10/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2022-3450

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.9

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:gentoo:linux:chromium, p-cpe:/a:gentoo:linux:chromium-bin, p-cpe:/a:gentoo:linux:google-chrome, p-cpe:/a:gentoo:linux:microsoft-edge, cpe:/o:gentoo:linux

必要的 KB 項目: Host/Gentoo/qpkg-list, Host/local_checks_enabled, Host/Gentoo/release

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2022/10/31

弱點發布日期: 2022/9/14

參考資訊

CVE: CVE-2022-3201, CVE-2022-3304, CVE-2022-3305, CVE-2022-3306, CVE-2022-3307, CVE-2022-3308, CVE-2022-3309, CVE-2022-3310, CVE-2022-3311, CVE-2022-3312, CVE-2022-3313, CVE-2022-3314, CVE-2022-3315, CVE-2022-3316, CVE-2022-3317, CVE-2022-3318, CVE-2022-3370, CVE-2022-3373, CVE-2022-3445, CVE-2022-3446, CVE-2022-3447, CVE-2022-3448, CVE-2022-3449, CVE-2022-3450, CVE-2022-41035