Google Chrome多个漏洞让远程旁路安全限制并执行任

2017-09-11 09:50:19 来源:qs

SecurityTracker警报ID:   1039291
SecurityTracker网址:   http : //securitytracker.com/id/1039291
CVE参考:   CVE-2017-5111,CVE-2017-5112,CVE-2017-5113,CVE-2017-5114,CVE-2017-5115,CVE-2017-5116,CVE-2017-5117,CVE-2017-5118,CVE-2017-5119,CVE-2017-5120
日期:   2017年9月7日 
影响:   通过网络执行任意代码,通过网络用户访问
修复可用:   是   
供应商确认:   是的  
说明:    Google Chrome中报告了多个漏洞。
远程用户可以在目标用户的系统上执行任意代码。
远程用户可以绕过目标系统上的安全控制。
远程用户可以创建特制内容,当目标用户加载时,将在目标用户的系统上执行任意代码。
在PDFium [CVE-2017-5111]中可能会发生免费使用。
WebGL [CVE-2017-5112]可能会发生堆缓冲区溢出。
在Skia [CVE-2017-5113]中可能会发生堆缓冲区溢出。
在PDFium [CVE-2017-5114]中可能会出现内存生命周期错误。
V8 [CVE-2017-5115,CVE-2017-5116]中可能会出现类型混淆错误。
Skia [CVE-2017-5117,CVE-2017-5119]中可能会出现未初始化的值错误。
远程用户可以绕过目标系统上的安全控制。远程用户可以绕过Blink [CVE-2017-5118]中的“内容安全策略”。
远程用户可能会在重定向导航期间降级HTTPS安全性[CVE-2017-5120]。
腾讯公司KeenLab(www.trapkit.de),匿名人士,腾讯宣玄武实验室刘晓宁(@general_nfs),马可乔瓦尼尼,阿尔法团队光荣,奇虎360,以及腾讯的Luat Nguyen(@ l4wio)腾讯玄武实验室的吴文旭报道了这些漏洞。
影响:    远程用户可以创建内容,当目标用户加载时,将在目标用户的系统上执行任意代码。
远程用户可以绕过目标系统上的安全控制。
解决方案:    供应商已发布修复(61.0.3163.79)。
供应商咨询可从以下网址获取:https : //chromereleases.googleblog.com/2017/09/stable-channel-update-for-desktop.html供应商网址:  chromereleases.googleblog.com/2017/09/stable-channel-update-for-desktop.html (链接到外部网站) 
原因:   访问控制错误,边界错误底层
操作系统:  Linux(Any),UNIX(macOS / OS X),Windows(Any)

上一条IBM WebSphere Application Serv 返回列表 HPE集成Lights Out(iLO)未指定的缺陷使远程用下一条
回到首页 产品服务 解决方案 新闻中心 到顶部