Google - CVE-2026-4676
Date de publication :
Il s'agit d'une vulnérabilité de type use-after-free dans le composant Dawn, la couche d'abstraction graphique de Chrome qui implémente l'API WebGPU.
Google Chrome est un navigateur web développé par Google. Il est disponible sur Windows, macOS et Linux et constitue le navigateur le plus utilisé au monde.
Un accès à une zone mémoire déjà libérée peut être déclenché via une page HTML spécialement conçue. Cette classe de vulnérabilité permet typiquement à un attaquant de contrôler le flux d'exécution du processus. L'éditeur indique explicitement un potentiel d'échappement du bac à sable (sandbox escape).
Elle permet à un attaquant distant de potentiellement exécuter du code arbitraire en dehors du bac à sable du navigateur via une page web piégée.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-416 : Use After Free
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Google Chrome versions antérieures à 146.0.7680.165 sur Windows et macOS
• Google Chrome versions antérieures à 146.0.7680.164 sur Linux
Solutions ou recommandations
• Google Chrome versions 146.0.7680.164 et supérieures sur Linux