説明
Google Chromeでは複数の重大な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を悪用してユーザーインターフェイスを偽装したり、サービス拒否を引き起こしたり、任意のコードを実行する可能性があります。
以下は、脆弱性の完全なリストです
- HarfBuzzとV8の複数の不特定の脆弱性を悪用してサービス拒否を引き起こす可能性があります。
- PDFiumの複数の整数オーバーフローは、特別に設計されたPDFを使用してサービス拒否を引き起こす可能性があります。
- Blinkでの乱数発生器の執行の欠如は、セキュリティの制限をバイパスするためにリモートから利用することができます。
- Blinkでのhttpおよびwsポリシー実施の欠如は、機密情報を取得するためにリモートから悪用される可能性があります。
- 未知の脆弱性は、ボタンに関連するベクトルを介して遠隔から利用され、ユーザインタフェースを偽装することができる。
- Omniboxの未知の脆弱性は、ユーザーインターフェイスを偽装するためにリモートから悪用される可能性があります。
- Blinkでの不適切な初期化は、特別に設計されたWebサイトを介してリモートから悪用され、機密情報を取得することができます。
- PDFiumの複数の使用後の脆弱性は、特別に設計されたPDFを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
- V8での互換性チェックの欠如は、特別に設計されたJavaScriptを使用してリモートから悪用され、サービス拒否を引き起こす可能性があります。
技術的な詳細
fxcodec / codec / fx_codec_jpx_opj.cppの sycc422_to_rgbおよびsycc444_to_rgb機能に関連する脆弱性(2) 。
cryptographicallyRandomValuesが確実に使用されない点滅バージョンに関連する脆弱性(3) 。この脆弱性を悪用すると、暗号の保護が無効になる可能性があります。
HTTPS URLにHTTPポリシーを適用しないで、コンテンツセキュリティポリシー(CSP)実装のWebKit / Source / core / frame / csp / CSPSource.cppの CSPSource :: schemeMatches関数に関連する脆弱性(4) WSS URL。この脆弱性を悪用すると、特定のHSTSサイトの訪問に関する情報が漏洩する可能性があります。この脆弱性は、CSPレポートを読むことによって悪用される可能性があります。
脆弱性(5)は、 ui / views / controls / button / custom_button.ccの CustomButton :: AcceleratorPressed関数に関連し、 フォーカスのないカスタムボタンに関連する未知のベクトルによってトリガされる可能性があります。
脆弱性(6)を悪用することで、ドキュメントの原点を偽装することができます。
WebKit / Source / platform / graphics / UnacceleratedImageBufferSurface.cppの UnacceleratedImageBufferSurfaceクラスに関連する脆弱性(7) 。この脆弱性を利用することにより、悪質なものはプロセスメモリから機密情報を取得することができます。
IPWL_FocusHandlerおよびIPWL_Providerオブジェクトの破壊を不適切に追跡する脆弱性(8) 。
受信者との互換性を保証していないic / ic.ccの LoadIC :: UpdateCaches関数に関連する脆弱性(9) 。
オリジナルアドバイザリー
CVEリスト
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com