logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-11-2024 14:22:54

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Vulnérabilités dans Chromium

Le mois d'octobre à été riche en terme de découverte de vulnérabilité d'outils  réseaux (serveur/applications)
Si Firefox (fixé pour Bookworm et Sid) et Thunderbird (non fixé pour Bookworm, fixé pour Sid) ont été touchés (Forum >  Gestion des paquets Debian > Thunderbird 128 et Debian 12 #8)
Le navigateur Chromium n'est pas épargné.

(fr) Multiples vulnérabilités dans Google Chrome ()

cert.ssi.gouv.fr a écrit :

Risque
    Non spécifié par l'éditeur
Systèmes affectés
    Chrome Extended Stable versions antérieures à 130.0.6723.92 pour Windows et Mac
    Chrome versions antérieures à 130.0.6723.91 pour Linux
    Chrome versions antérieures à 130.0.6723.91/.92 pour Windows et Mac
Résumé
De multiples vulnérabilités ont été découvertes dans Google Chrome. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur.



https://tracker.debian.org/pkg/chromium

tracker.debian.org a écrit :

2 important issues:
    CVE-2024-10487: Out of bounds write in Dawn in Google Chrome prior to 130.0.6723.92 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. (Chromium security severity: Critical)
    CVE-2024-10488: Use after free in WebRTC in Google Chrome prior to 130.0.6723.92 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High)

C'est deux vulnérabilités ne sont pas encore fixées dans Bookworm, ni dans Sid ou Trixie

lol Préférer donc Firefox-esr (du moins durant un certain temps)
(Ce n'est qu'une suggestion, chacun est libre de faire comme il veut tongue)

Dernière modification par agp91 (02-11-2024 14:25:37)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#2 03-11-2024 05:14:17

TyZef
Membre
Distrib. : Debian_12_Ka’ay
Inscription : 09-05-2013

Re : Vulnérabilités dans Chromium

Merci agp91 handy.png

TheMatrixAnimated.gif

Hors ligne

#3 04-11-2024 10:03:08

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Vulnérabilités dans Chromium

L'alerte est passée ces vulnérabilités (CVE-2024-10487 et  CVE-2024-10488) sont fixées  pour Bookworm (via security) et Sid
Le seront aussi pour Trixie dans une prochaine construction
Restent effectives pour Bullseye

https://security-tracker.debian.org/tra … e/chromium

La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#4 04-11-2024 16:00:05

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Vulnérabilités dans Chromium

agp91 a écrit :

Le seront aussi pour Trixie dans une prochaine construction


Ça fait maintenant presque un mois que chromium n’a plus reçu aucune mise-à-jour, pas même de sécurité, dans testing.

Mais normalement les utilisateurs de testing sont au courant que leur branche de Debian ne reçoit aucun suivi de sécurité, et je suppose qu’en conséquence ils n’utilisent pas de navigateur Web.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

En ligne

#5 10-11-2024 13:44:36

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Vulnérabilités dans Chromium

Voila qui est fait, Chromium pour Trixie c'est vu mis à jour le 8 novembre.
Cela fixe les vulnérabilités CVE-2024-10487 et  CVE-2024-10488.

... Mais voila que 2 nouvelles vulnérabilités ont été publiées (le 06/11/2024) (fr) Multiples vulnérabilités dans Google Chrome (cert.ssi.gouv.fr)

tracker.debian.org a écrit :

2 important issues:
CVE-2024-10826 : Use after free in Family Experiences in Google Chrome on Android prior to 130.0.6723.116 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High)
CVE-2024-10827 : Use after free in Serial in Google Chrome prior to 130.0.6723.116 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High)

Actuelement non fixées pour toutes les realeses (Bookworm, Trixie et Sid)
Pour Bullseye, la liste des vulnérabilités de Chromium non fixées, est trop longue pour en parler (il est plus sage de ne pas utiliser Chromium sous Bullseye).

Dernière modification par agp91 (10-11-2024 13:46:12)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#6 19-11-2024 22:00:58

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Vulnérabilités dans Chromium

Si CVE-2024-10826 et CVE-2024-10827 ont été fixées pour Sid et Bookworm (security) le 11 novembre,
8 autres vulnérabilités sont publiées :
(fr) Multiples vulnérabilités dans Google Chrome (cert.ssi.gouv.fr)

Non fixées pour l'instant
Donc 8 vulnérabilités pour Bookworm (security) et Sid
10 pour Trixie
Et toujours un nombre incalculable pour Bullseye


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#7 19-11-2024 22:05:52

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Vulnérabilités dans Chromium

Il y en a encore qui utilise chromium? lol

Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

En ligne

#8 22-11-2024 02:12:31

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Vulnérabilités dans Chromium

Aller hop, une de plus... Non fixée
(fr) Vulnérabilité dans Google Chrome (cert.ssi.gouv.fr)
CVE-2024-11395 (haute)
CVE-2024-10826 et CVE-2024-10827 fixées pour Trixie
Donc 9 vulnérabilités pour Bookworm (security), Trixie et Sid
Pffff pour Bullseye

La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

Pied de page des forums