Google Chrome - CVE-2026-6296
Date de publication :
l s'agit d'une vulnérabilité dans le composant ANGLE (Almost Native Graphics Layer Engine) de Google Chrome, une couche d'abstraction graphique traduisant les appels OpenGL ES en API graphiques natives (Direct3D, Metal, Vulkan) afin d'assurer la compatibilité du rendu WebGL sur tous les systèmes.
Un dépassement de tampon dans le tas (heap buffer overflow) survient lors du traitement d'une page HTML spécialement conçue, provoquant une corruption mémoire au niveau du processus de rendu. La corruption du tas dans ANGLE permet à un attaquant de dépasser les limites de la mémoire allouée, ouvrant la voie à une évasion du bac à sable (sandbox escape) du navigateur.
Elle permet à un attaquant distant non authentifié d'exécuter du code arbitraire avec évasion potentielle du sandbox via une page HTML forgée, sans autre interaction de la victime que la visite d'une page malveillante.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-122 : Heap-based Buffer Overflow
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Google Chrome versions antérieures à 147.0.7727.101
Solutions ou recommandations
- Google Chrome version 147.0.7727.101 et supérieures (Windows/Linux)
- Google Chrome version 147.0.7727.102 et supérieures (macOS)