GLSA-202210-16:Chromium、Google Chrome、Microsoft Edge:多個弱點

high Nessus Plugin ID 166728

語系:

描述

遠端主機受到 GLSA-202210-16 中所述的弱點影響 (Chromium、Google Chrome、Microsoft Edge:
多個弱點)

- Chrome OS 版 Google Chrome 105.0.5195.125 之前版本的 DevTools 中存在對於不受信任的輸入驗證不充分的弱點,成功誘騙使用者安裝惡意延伸模組的攻擊者可利用此弱點,透過特別建構的 HTML 頁面繞過導覽限制。(CVE-2022-3201)

- Microsoft Edge (基於 Chromium) 竄改弱點。(CVE-2022-41035)

- CSS 中的釋放後使用弱點。(CVE-2022-3304)

- Survey 中的釋放後使用弱點。(CVE-2022-3305、CVE-2022-3306)

- Media 中的釋放後使用弱點。(CVE-2022-3307)

- 開發人員工具中的原則強制執行不充分弱點。(CVE-2022-3308)

- Assistant 中的釋放後使用弱點。(CVE-2022-3309)

- Custom Tabs 中的原則強制執行不充分弱點。(CVE-2022-3310)

- Import 中的釋放後使用弱點。(CVE-2022-3311)

- VPN 中對不受信任的輸入驗證不充分的弱點。(CVE-2022-3312)

- Full Screen 中存在不正確的安全性 UI (CVE-2022-3313)

- Logging 中的釋放後使用弱點。(CVE-2022-3314)

- 此 CVE 是由 Chrome 指派。Microsoft Edge (基於 Chromium) 引入 Chromium,解決了此弱點。如需詳細資訊,請參閱 Google Chrome 版本。(CVE-2022-3315、CVE-2022-3316、CVE-2022-3370、CVE-2022-3373)

- Intents 中存在對非受信任的輸入驗證不足的弱點。(CVE-2022-3317)

- ChromeOS 通知中的釋放後使用弱點。(CVE-2022-3318)

- Skia 中的釋放後使用弱點。(CVE-2022-3445)

- WebSQL 中的堆積型緩衝區溢位弱點。(CVE-2022-3446)

- Custom Tabs 中的不當實作弱點。(CVE-2022-3447)

- Permissions API 中的釋放後使用弱點。(CVE-2022-3448)

- Safe Browsing 中的釋放後使用弱點。(CVE-2022-3449)

- Peer Connection 中的釋放後使用弱點。(CVE-2022-3450)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

所有 Chromium 使用者都應升級至最新版本:

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/chromium-106.0.5249.119 所有 Chromium 二進位檔使用者皆應升級至最新版本:

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/chromium-bin-106.0.5249.119 所有 Google Chrome 使用者皆應升級至最新版本:

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/google-chrome-106.0.5249.119 所有 Microsoft Edge 使用者皆應升級至最新版本:

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/microsoft-edge-106.0.1370.37

另請參閱

https://security.gentoo.org/glsa/202210-16

https://bugs.gentoo.org/show_bug.cgi?id=873217

https://bugs.gentoo.org/show_bug.cgi?id=873817

https://bugs.gentoo.org/show_bug.cgi?id=874855

https://bugs.gentoo.org/show_bug.cgi?id=876855

Plugin 詳細資訊

嚴重性: High

ID: 166728

檔案名稱: gentoo_GLSA-202210-16.nasl

版本: 1.2

類型: local

已發布: 2022/10/31

已更新: 2022/10/31

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-3450

CVSS v3

風險因素: High

基本分數: 8.3

時間分數: 7.2

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2022-41035

弱點資訊

CPE: p-cpe:/a:gentoo:linux:chromium, p-cpe:/a:gentoo:linux:chromium-bin, p-cpe:/a:gentoo:linux:google-chrome, p-cpe:/a:gentoo:linux:microsoft-edge, cpe:/o:gentoo:linux

必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/10/31

弱點發布日期: 2022/9/14

參考資訊

CVE: CVE-2022-3201, CVE-2022-3304, CVE-2022-3305, CVE-2022-3306, CVE-2022-3307, CVE-2022-3308, CVE-2022-3309, CVE-2022-3310, CVE-2022-3311, CVE-2022-3312, CVE-2022-3313, CVE-2022-3314, CVE-2022-3315, CVE-2022-3316, CVE-2022-3317, CVE-2022-3318, CVE-2022-3370, CVE-2022-3373, CVE-2022-3445, CVE-2022-3446, CVE-2022-3447, CVE-2022-3448, CVE-2022-3449, CVE-2022-3450, CVE-2022-41035