Google - CVE-2026-10881
Date de publication :
Il s'agit d'une vulnérabilité de type lecture et écriture hors limites (out-of-bounds read and write) dans le composant ANGLE (Almost Native Graphics Layer Engine) de Google Chrome.
ANGLE est la couche d'abstraction graphique utilisée par Chrome pour traduire les appels OpenGL ES vers les APIs graphiques natives (Direct3D, Metal, Vulkan). Un attaquant à distance peut déclencher un accès mémoire hors des bornes allouées via une page HTML spécialement forgée. La corruption mémoire résultante peut être exploitée pour franchir le bac à sable (sandbox) du navigateur.
Elle permet à un attaquant distant, sans authentification préalable, d'échapper au sandbox de Chrome et potentiellement d'exécuter du code arbitraire dans le contexte du système sous-jacent.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-125 : Out-of-bounds Read
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Google Chrome versions antérieures à 149.0.7827.53 (Linux)
• Google Chrome versions antérieures à 149.0.7827.53/54 (Windows/macOS)
Solutions ou recommandations
• Google Chrome versions 149.0.7827.53/54 et supérieures (Windows/macOS)