Errata ALT-PU-2018-1639-1: Информация
Исправления
Опубликовано: 17 апреля 2018 г.
BDU:2019-04478
Уязвимость реализации механизма CORS браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию
Важность: MEDIUM (6,5) Вектор: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 17 апреля 2018 г.
BDU:2019-04480
Уязвимость реализации бэкэнда Page.downloadBehavior браузера Google Chrome, позволяющая нарушителю убедить пользователя установить вредоносное расширение
Важность: CRITICAL (9,6) Вектор: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6084
Insufficiently sanitized distributed objects in Updater in Google Chrome on macOS prior to 66.0.3359.117 allowed a local attacker to execute arbitrary code via an executable file.
Важность: HIGH (7,8) Вектор: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6085
Re-entry of a destructor in Networking Disk Cache in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to execute arbitrary code via a crafted HTML page.
Важность: HIGH (8,8) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6086
A double-eviction in the Incognito mode cache that lead to a user-after-free in Networking Disk Cache in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to execute arbitrary code via a crafted HTML page.
Важность: HIGH (8,8) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6087
A use-after-free in WebAssembly in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page.
Важность: HIGH (8,8) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6088
An iterator-invalidation bug in PDFium in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted PDF file.
Важность: HIGH (8,8) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6089
A lack of CORS checks, after a Service Worker redirected to a cross-origin PDF, in Service Worker in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to leak limited cross-origin data via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6090
An integer overflow that lead to a heap buffer-overflow in Skia in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page.
Важность: HIGH (8,8) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6091
Service Workers can intercept any request made by an <embed> or <object> tag in Fetch API in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to leak cross-origin data via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6092
An integer overflow on 32-bit systems in WebAssembly in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page.
Важность: HIGH (8,8) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6093
Insufficient origin checks in Blink in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to leak cross-origin data via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6094
Inline metadata in GarbageCollection in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Важность: HIGH (8,8) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6095
Inappropriate dismissal of file picker on keyboard events in Blink in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to read local files via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6096
A JavaScript focused window could overlap the fullscreen notification in Fullscreen in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to obscure the full screen warning via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6097
Incorrect handling of asynchronous methods in Fullscreen in Google Chrome on macOS prior to 66.0.3359.117 allowed a remote attacker to enter full screen without showing a warning via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6098
Incorrect handling of confusable characters in URL Formatter in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to perform domain spoofing via IDN homographs via a crafted domain name.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6099
A lack of CORS checks in Blink in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to leak limited cross-origin data via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6100
Incorrect handling of confusable characters in URL Formatter in Google Chrome on macOS prior to 66.0.3359.117 allowed a remote attacker to perform domain spoofing via IDN homographs via a crafted domain name.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6101
A lack of host validation in DevTools in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to execute arbitrary code via a crafted HTML page, if the user is running a remote DevTools debugging server.
Важность: HIGH (7,5) Вектор: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6102
Missing confusable characters in Internationalization in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted domain name.
Важность: MEDIUM (4,3) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6103
A stagnant permission prompt in Prompts in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to bypass permission policy via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6104
Incorrect handling of confusable characters in URL Formatter in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to perform domain spoofing via IDN homographs via a crafted domain name.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6105
Incorrect handling of confusable characters in Omnibox in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to perform domain spoofing via IDN homographs via a crafted domain name.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6106
An asynchronous generator may return an incorrect state in V8 in Google Chrome prior to 66.0.3359.117 allowing a remote attacker to potentially exploit object corruption via a crafted HTML page.
Важность: HIGH (8,8) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6107
Incorrect handling of confusable characters in URL Formatter in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to perform domain spoofing via IDN homographs via a crafted domain name.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6108
Incorrect handling of confusable characters in URL Formatter in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to perform domain spoofing via IDN homographs via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6109
readAsText() can indefinitely read the file picked by the user, rather than only once at the time the file is picked in File API in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to access data on the user file system without explicit consent via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6110
Parsing documents as HTML in Downloads in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to cause Chrome to execute scripts via a local non-HTML page.
Важность: MEDIUM (5,4) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6111
An object lifetime issue in the developer tools network handler in Google Chrome prior to 66.0.3359.117 allowed a local attacker to execute arbitrary code via a crafted HTML page.
Важность: HIGH (8,8) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6112
Making URLs clickable and allowing them to be styled in DevTools in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page.
Важность: MEDIUM (4,3) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6113
Improper handling of pending navigation entries in Navigation in Google Chrome on iOS prior to 66.0.3359.117 allowed a remote attacker to perform domain spoofing via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6114
Incorrect enforcement of CSP for <object> tags in Blink in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to bypass content security policy via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6115
Inappropriate setting of the SEE_MASK_FLAG_NO_UI flag in file downloads in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to potentially bypass OS malware checks via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6116
A nullptr dereference in WebAssembly in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Ссылки:
Опубликовано: 9 января 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6117
Confusing settings in Autofill in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 27 июня 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6150
Incorrect handling of CORS in ServiceWorker in Google Chrome prior to 66.0.3359.117 allowed a remote attacker to leak cross-origin data via a crafted HTML page.
Важность: MEDIUM (6,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 4 декабря 2018 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2018-6152
The implementation of the Page.downloadBehavior backend unconditionally marked downloaded files as safe, regardless of file type in Google Chrome prior to 66.0.3359.117 allowed an attacker who convinced a user to install a malicious extension to potentially perform a sandbox escape via a crafted HTML page and user interaction.
Важность: CRITICAL (9,6) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Ссылки: