Google - CVE-2026-13028
Date de publication :
Il s'agit d'une vulnérabilité de type use-after-free dans le composant WebGL de Google Chrome.
WebGL est une API JavaScript d'accélération graphique 3D qui expose directement les fonctions de rendu GPU au contenu web. Une gestion incorrecte de la durée de vie des objets mémoire dans ce composant permet de continuer à référencer une zone mémoire après sa libération. Un attaquant peut exploiter cette corruption mémoire depuis une page HTML spécialement forgée, sans authentification et avec une simple interaction utilisateur (visite de la page). Sur Android, la vulnérabilité est documentée comme permettant une évasion du bac à sable (sandbox escape).
Elle permet une exécution de code arbitraire à distance avec possibilité de sortie du bac à sable navigateur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-416 : Use After Free
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Google Chrome versions antérieures à 149.0.7827.197 sur Windows et macOS
• Google Chrome versions antérieures à 149.0.7827.196 sur Linux
• Google Chrome versions antérieures à 149.0.7827.197 sur Android
Solutions ou recommandations
• Google Chrome version 149.0.7827.196 et supérieures sur Linux
• Google Chrome version 149.0.7827.197 et supérieures sur Android