openSUSE 安全性更新:chromium (openSUSE-SU-2014:1151-1)
critical Nessus Plugin ID 77803
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
Chromium 已更新至 37.0.2062.94 版,其中包含安全性修正 (bnc#893720)。完整變更清單可在記錄中取得:
https://chromium.googlesource.com/chromium/src/+log/36.0.1985.0..37.0.
2062.0?pretty=full
此更新包含 50 個安全性修正。我們在此反白顯示了外部研究人員提供或特別感興趣的修正。請參閱 Chromium 安全性頁面,瞭解詳細資訊。
重要 CVE-2014-3176、CVE-2014-3177:特別感謝 lokihardt@asrt 發現 V8、IPC、同步與延伸模組中存在可導致在沙箱外執行遠端程式碼的錯誤組合。
高 CVE-2014-3168:SVG 中的釋放後使用錯誤。報告者:cloudfuzzer。高 CVE-2014-3169:DOM 中的釋放後使用錯誤。報告者:Andrzej Dyjak。高 CVE-2014-3170:延伸權限對話方塊偽造。報告者:Rob Wu。
高 CVE-2014-3171:繫結中的釋放後使用錯誤。報告者:cloudfuzzer。
中等 CVE-2014-3172:與延伸除錯相關的問題。報告者:Eli Grey。中等 CVE-2014-3173:WebGL 中的未初始化記憶體讀取問題。
報告者:jmuizelaar。中等 CVE-2014-3174:Web Audio 中的未初始化記憶體讀取問題。報告者:OUSPG 的 Atte Kettunen。
我們也要感謝 Collin Payne、Christoph Diehl、Sebastian Mauer、Atte Kettunen 與 cloudfuzzer 在開發週期中與我們一起努力防止安全性錯誤進入穩定通道。額外頒發了 8000 美元的獎勵。
照慣例,我們持續性內部安全性工作仍負責廣大範圍的修正:CVE-2014-3175:多種來自內部稽核、模糊測試和其他計劃的修正 (Chrome 37)。
以上許多錯誤都使用 AddressSanitizer 偵測。
解決方案
更新受影響的 chromium 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=893720
http://www.nessus.org/u?8c4b20f6
https://lists.opensuse.org/opensuse-updates/2014-09/msg00033.html
Plugin 詳細資訊
嚴重性: Critical
ID: 77803
檔案名稱: openSUSE-2014-550.nasl
版本: 1.6
類型: local
代理程式: unix
已發布: 2014/9/23
已更新: 2021/1/19
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 8.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:chromedriver-debuginfo, p-cpe:/a:novell:opensuse:chromium, p-cpe:/a:novell:opensuse:chromium-debuginfo, p-cpe:/a:novell:opensuse:chromium-debugsource, p-cpe:/a:novell:opensuse:chromium-desktop-gnome, p-cpe:/a:novell:opensuse:chromium-desktop-kde, p-cpe:/a:novell:opensuse:chromium-ffmpegsumo, p-cpe:/a:novell:opensuse:chromium-ffmpegsumo-debuginfo, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/9/15
參考資訊
CVE: CVE-2014-3168, CVE-2014-3169, CVE-2014-3170, CVE-2014-3171, CVE-2014-3172, CVE-2014-3173, CVE-2014-3174, CVE-2014-3175, CVE-2014-3176, CVE-2014-3177