Google corrige de multiples vulnérabilités sur son navigateur Google Chrome
Date de publication :
L'équipe de développement de Chrome a publié un bulletin de sécurité corrigeant 39 vulnérabilités sur son navigateur Google Chrome, dont certaines sont considérées comme critiques.
Selon l’environnement dans lequel s’exécute Google Chrome, un attaquant pourrait les exploiter afin d’effectuer une exécution de code arbitraire, de créer un compte avec les mêmes droits d’exécution, d'installer d’autres programmes ou encore de lire, modifier et supprimer des données.
Ces attaques seraient simples à mettre en œuvre et, pour certaines de ces vulnérabilités, ne nécessiteraient pas d'authentification. L'impact estimé sur la confidentialité et l'intégrité des données est très important.
Google Chrome est un navigateur web très utilisé présent sur les systèmes d'exploitation Windows, macOS et Linux. Ce navigateur utilise différentes surcouches logicielles fonctionnant sur les différents systèmes d’exploitation possédant des vulnérabilités : Cors, Android, Angle, Blink, PDFium, V8, Autofil, Omnibox.
Détails techniques :
-
Les vulnérabilités considérées comme critiques sont les suivantes :
- CVE-2019-5805 [CVSS V3 6.3] : Utilisation après libération de mémoire sur PDFium.
CVE-2019-5806 [CVSS V3 6.3] : Dépassement d'un nombre entier dans Angle.
CVE-2019-5807 [CVSS V3 6.3] : Corruption de la mémoire dans le V8.
CVE-2019-5808CVE-2019-5809 [CVSS V3 6.3] : Utilisation après libération de mémoire sur Blink.
Les vulnérabilités considérées comme modérées incluent les vulnérabilités suivantes :
- CVE-2019-5810 [CVSS V3 4.3] : Divulgation des informations de l'utilisateur dans Autofill.
CVE-2019-5811, CVE-2019-5814 [CVSS V3 4.3] : Contournement de CORS Blink.
CVE-2019-5812 [CVSS V3 4.3] : Usurpation d'URL dans Omnibox sous iOS.
CVE-2019-5813 [CVSS V3 4.3] : Lecture hors-limites en V8.
Enfin, les vulnérabilités suivantes sont considérées comme étant de faible impact :
- CVE-2019-5815 [CVSS V3 4.3] : Débordement de lecture sur le tas sur Blink.
CVE-2019-5816 [CVSS V3 4.3] : Exploitation d’une extension persistante sur Android.
CVE-2019-5817 [CVSS V3 4.3] : Dépassement de tampon dans Angle sur Windows.
CVE-2019-5818 [CVSS V3 4.3] : Valeur non initialisée dans le lecteur de médias.
CVE-2019-5819 [CVSS V3 4.3] : Echappement de caractères dans les outils de développement.
CVE-2019-5820CVE-2019-5821 [CVSS V3 4.3] : Dépassement d'entier dans PDFium.
CVE-2019-5822 [CVSS V3 4.3] : Contournement de CORS dans le gestionnaire de téléchargement.
CVE-2019-5823 [CVSS V3 4.3] : Navigation forcée de la part d'un script de type Service Worker.
Des correctifs ont été publiés par Google et sont disponibles au téléchargement depuis le 24 avril 2019. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exécution de code arbitraire ;
Modification des paramètres.
Criticité
-
Score CVSS : En cours d'évaluation.
Existence d’un code d’exploitation de la vulnérabilité
-
Aucun code d’exploitation n’est disponible.
Composants & versions vulnérables
-
Les versions de Google Chrome avant 74.0.3729.108.
CVE
- CVE-2019-5805
CVE-2019-5806
CVE-2019-5807
CVE-2019-5808
CVE-2019-5809
CVE-2019-5810
CVE-2019-5811
CVE-2019-5812
CVE-2019-5813
CVE-2019-5814
CVE-2019-5815
CVE-2019-5816
CVE-2019-5817
CVE-2019-5818
CVE-2019-5819
CVE-2019-5820
CVE-2019-5821
CVE-2019-5822
CVE-2019-5823
Solutions ou recommandations
Mise en place de correctif de sécurité
- Une mise à jour proposée par Google corrige l'ensemble des vulnérabilités mentionnées dans le bulletin.
Solution de contournement
- Aucune solution de contournement n’est proposée.