Debian DSA-3590-1:chromium-browser - 安全性更新

high Nessus Plugin ID 91429

概要

遠端 Debian 主機缺少安全性更新。

說明

在 chromium 網頁瀏覽器中發現數個弱點。

- CVE-2016-1667 Mariusz Mylinski 發現一個跨來源繞過問題。

- CVE-2016-1668 Mariusz Mlynski 發現在對 v8 的繫結中有一個跨來源繞過問題。

- CVE-2016-1669 Choongwoo Han 在 v8 JavaScript 程式庫中發現一個緩衝區溢位問題。

- CVE-2016-1670 發現一個爭用情形,可造成轉譯器處理程序重複使用應該要唯一的 ID。

- CVE-2016-1672 Mariusz Mlynski 發現在延伸模組繫結中有一個跨來源繞過問題。

- CVE-2016-1673 Mariusz Mylinski 發現 Blink/Webkit 中有一個跨來源繞過問題。

- CVE-2016-1674 Mariusz Mlynski 發現在延伸模組繫結中有另一個跨來源繞過問題。

- CVE-2016-1675 Mariusz Mylinski 發現 Blink/Webkit 中有另一個跨來源繞過問題。

- CVE-2016-1676 Rob Wu 發現在延伸模組繫結中有一個跨來源繞過問題。

- CVE-2016-1677 Guang Gong 發現 v8 JavaScript 程式庫中有一個類型混淆問題。

- CVE-2016-1678 Christian Holler 發現在 v8 JavaScript 程式庫中有一個溢位問題。

- CVE-2016-1679 Rob Wu 發現在對 v8 的繫結中有一個釋放後使用問題。

- CVE-2016-1680 Atte Kettunen 發現 skia 程式庫中有一個釋放後使用問題。

- CVE-2016-1681 Aleksandar Nikolic 發現在 pdfium 程式庫中有一個溢位問題。

- CVE-2016-1682 KingstonTime 發現一種可繞過內容安全性原則的方法。

- CVE-2016-1683 Nicolas Gregoire 發現 libxslt 程式庫中有一個超出邊界寫入問題。

- CVE-2016-1684 Nicolas Gregoire 發現 libxslt 程式庫中有一個整數溢位問題。

- CVE-2016-1685 Ke Liu 發現 pdfium 程式庫中有一個超出邊界讀取問題。

- CVE-2016-1686 Ke Liu 發現 pdfium 程式庫中有另一個超出邊界讀取問題。

- CVE-2016-1687 Rob Wu 發現在延伸模組的處理中有一個資訊洩漏問題。

- CVE-2016-1688 Max Korenko 發現在 v8 JavaScript 程式庫中有一個超出邊界讀取問題。

- CVE-2016-1689 Rob Wu 發現一個緩衝區溢位問題。

- CVE-2016-1690 Rob Wu 發現一個釋放後使用問題。

- CVE-2016-1691 Atte Kettunen 發現 skia 程式庫中有一個緩衝區溢位問題。

- CVE-2016-1692 Til Jasper Ullrich 發現一個跨來源繞過問題。

- CVE-2016-1693 Khalil Zhani 發現軟體移除工具下載已透過 HTTP 連線完成。

- CVE-2016-1694 Ryan Lester 和 Bryant Zadegan 發現,在清理瀏覽器快取時,會移除釘選的公開金鑰。

- CVE-2016-1695 chrome 開發團隊在內部稽核期間發現並修正了多個問題。

解決方案

升級 chromium-browser 套件。

針對穩定的發行版本 (jessie),這些問題已在 51.0.2704.63-1~deb8u1 版本中修正。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2016-1667

https://security-tracker.debian.org/tracker/CVE-2016-1668

https://security-tracker.debian.org/tracker/CVE-2016-1669

https://security-tracker.debian.org/tracker/CVE-2016-1670

https://security-tracker.debian.org/tracker/CVE-2016-1672

https://security-tracker.debian.org/tracker/CVE-2016-1673

https://security-tracker.debian.org/tracker/CVE-2016-1674

https://security-tracker.debian.org/tracker/CVE-2016-1675

https://security-tracker.debian.org/tracker/CVE-2016-1676

https://security-tracker.debian.org/tracker/CVE-2016-1677

https://security-tracker.debian.org/tracker/CVE-2016-1678

https://security-tracker.debian.org/tracker/CVE-2016-1679

https://security-tracker.debian.org/tracker/CVE-2016-1680

https://security-tracker.debian.org/tracker/CVE-2016-1681

https://security-tracker.debian.org/tracker/CVE-2016-1682

https://security-tracker.debian.org/tracker/CVE-2016-1683

https://security-tracker.debian.org/tracker/CVE-2016-1684

https://security-tracker.debian.org/tracker/CVE-2016-1685

https://security-tracker.debian.org/tracker/CVE-2016-1686

https://security-tracker.debian.org/tracker/CVE-2016-1687

https://security-tracker.debian.org/tracker/CVE-2016-1688

https://security-tracker.debian.org/tracker/CVE-2016-1689

https://security-tracker.debian.org/tracker/CVE-2016-1690

https://security-tracker.debian.org/tracker/CVE-2016-1691

https://security-tracker.debian.org/tracker/CVE-2016-1692

https://security-tracker.debian.org/tracker/CVE-2016-1693

https://security-tracker.debian.org/tracker/CVE-2016-1694

https://security-tracker.debian.org/tracker/CVE-2016-1695

https://packages.debian.org/source/jessie/chromium-browser

https://www.debian.org/security/2016/dsa-3590

Plugin 詳細資訊

嚴重性: High

ID: 91429

檔案名稱: debian_DSA-3590.nasl

版本: 2.17

類型: local

代理程式: unix

已發布: 2016/6/2

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 6.9

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:chromium-browser, cpe:/o:debian:debian_linux:8.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/6/1

弱點發布日期: 2016/5/14

參考資訊

CVE: CVE-2016-1667, CVE-2016-1668, CVE-2016-1669, CVE-2016-1670, CVE-2016-1672, CVE-2016-1673, CVE-2016-1674, CVE-2016-1675, CVE-2016-1676, CVE-2016-1677, CVE-2016-1678, CVE-2016-1679, CVE-2016-1680, CVE-2016-1681, CVE-2016-1682, CVE-2016-1683, CVE-2016-1684, CVE-2016-1685, CVE-2016-1686, CVE-2016-1687, CVE-2016-1688, CVE-2016-1689, CVE-2016-1690, CVE-2016-1691, CVE-2016-1692, CVE-2016-1693, CVE-2016-1694, CVE-2016-1695

DSA: 3590