CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-20066
https://notcve.org/view.php?id=CVE-2018-20066
Incorrect object lifecycle in Extensions in Google Chrome prior to 71.0.3578.80 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. Ciclo de vida de objetos incorrecto en Extensions en Google Chrome, en versiones anteriores a la 71.0.3578.80, permitía que un atacante remoto pudiese explotar una corrupción de memoria dinámica (heap) mediante una página HTML manipulada. • https://chromereleases.googleblog.com/2018/12/stable-channel-update-for-desktop.html https://crbug.com/856135 • CWE-416: Use After Free •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-15404
https://notcve.org/view.php?id=CVE-2017-15404
An ability to process crash dumps under root privileges and inappropriate symlinks handling could lead to a local privilege escalation in Crash Reporting in Google Chrome on Chrome OS prior to 61.0.3163.113 allowed a local attacker to perform privilege escalation via a crafted HTML page. Una capacidad de procesar volcados de cierre con privilegios de root y la gestión incorrecta de symlinks inapropriados podría provocar una escalación de privilegios en Crash Reporting en Google Chrome en Chrome OS, en versiones anteriores a 61.0.3163.113, permitió a un atacante local realizar el escalado de privilegios mediante una página HTML manipulada. • https://chromereleases.googleblog.com/2017/10/stable-channel-updates-for-chrome-os.html https://crbug.com/766275 • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •
CVSS: 7.3EPSS: 0%CPEs: 2EXPL: 0CVE-2017-15403
https://notcve.org/view.php?id=CVE-2017-15403
Insufficient data validation in crosh could lead to a command injection under chronos privileges in Networking in Google Chrome on Chrome OS prior to 61.0.3163.113 allowed a local attacker to execute arbitrary code via a crafted HTML page. Validación insuficiente de datos en crosh podría conducir a una inyección de comandos con privilegios de chronos en Networking en Google Chrome, en Chrome OS en versiones anteriores a la 61.0.3163.113, lo que permitía que un atacante local ejecute código arbitrario mediante una página HTML manipulada. • https://chromereleases.googleblog.com/2017/10/stable-channel-updates-for-chrome-os.html https://crbug.com/766271 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-20065
https://notcve.org/view.php?id=CVE-2018-20065
Handling of URI action in PDFium in Google Chrome prior to 71.0.3578.80 allowed a remote attacker to initiate potentially unsafe navigations without a user gesture via a crafted PDF file. El manejo de las acciones de los URI en PDFium en Google Chrome, en versiones anteriores a la 71.0.3578.80, permitía que un atacante remoto iniciase navegaciones potencialmente inseguras sin un gesto del usuario mediante un archivo PDF manipulado. • https://chromereleases.googleblog.com/2018/12/stable-channel-update-for-desktop.html https://crbug.com/851821 • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 0%CPEs: 5EXPL: 0CVE-2018-6179 – chromium-browser: Local file information leak in Extensions
https://notcve.org/view.php?id=CVE-2018-6179
Insufficient enforcement of file access permission in the activeTab case in Extensions in Google Chrome prior to 68.0.3440.75 allowed an attacker who convinced a user to install a malicious extension to access files on the local file system via a crafted Chrome Extension. La aplicación insuficiente de los permisos de acceso a archivos en el caso activeTab en Extensions en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante, que hubiese convencido a un usuario para que instale una extensión maliciosa, accediese a archivos en el sistema de archivos local mediante una extensión de Chrome manipulada. • http://www.securityfocus.com/bid/104887 https://access.redhat.com/errata/RHSA-2018:2282 https://chromereleases.googleblog.com/2018/07/stable-channel-update-for-desktop.html https://crbug.com/816685 https://security.gentoo.org/glsa/201808-01 https://www.debian.org/security/2018/dsa-4256 https://access.redhat.com/security/cve/CVE-2018-6179 https://bugzilla.redhat.com/show_bug.cgi?id=1608203 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •