Bulletin d'alerte Debian
DSA-2307-1 chromium-browser -- Plusieurs vulnérabilités
- Date du rapport :
- 11 septembre 2011
- Paquets concernés :
- chromium-browser
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2011-2359, CVE-2011-2800, CVE-2011-2818.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans le navigateur Chromium. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2011-2818
Une vulnérabilité d'utilisation mémoire après libération dans Google Chrome permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens liés au rendu de l'affichage de boîtes.
- CVE-2011-2800
Google Chrome permet aux attaquants distants d'obtenir éventuellement des renseignements sensibles sur les cibles de redirection côté client à l'aide d'un site web contrefait.
- CVE-2011-2359
Google Chrome ne suit pas correctement les boîtes en ligne lors du rendu. Cela permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens inconnus pouvant mener à un
pointeur bancal
.
Plusieurs certificats SSL non autorisés ont été découverts dans la nature, émis par l'autorité de certification DigiNotar, obtenus à l'aide d'une faille de sécurité au sein de la société en question. Cette mise à jour place en liste noire les certificats SSL émis par l'intermédiaire des autorités de certification contrôlées par DigiNotar utilisées par le programme néerlandais PKIoverheid.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 6.0.472.63~r59945-5+squeeze6.
Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 13.0.782.220~r99552-1.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 13.0.782.220~r99552-1.
Nous vous recommandons de mettre à jour vos paquets chromium-browser.
- CVE-2011-2818