Multiples vulnérabilités corrigées pour les navigateurs Chrome et Firefox

Les équipes de Firefox et de Chrome ont publié le 22 octobre des correctifs de sécurité pour corriger 34 vulnérabilités sur leurs navigateurs respectifs.

Pour Chrome, 21 vulnérabilités ont été corrigées. L’exploitation de celles-ci pourrait mener à l’exécution arbitraire de code, l’élévation de privilèges, le contournement de politiques de sécurité, le contournement de permissions, l’usurpation d’URL ou encore la divulgation d’informations.

Pour Firefox ce sont 13 vulnérabilités qui ont été corrigées. L’exploitation de celles-ci a des impacts multiples tels que le déni de service, la divulgation d’informations, le contournement d’accès ou encore l’exécution arbitraire de code. Parmi ces vulnérabilités, une est jugée critique, 3 importantes, 8 moyennes et une basse.

Aucun code d'exploitation de ces vulnérabilités n'est connu à ce jour. Les correctifs de sécurité ont été déployés et sont accessibles pour l'ensemble des utilisateurs.

Détails techniques :

Pour Chrome les vulnérabilités importantes sont les suivantes :

CVE-2019-13699 [CVSSv3 8.8] : utilisation de la mémoire après libération de celle-ci. (« Use-after-free »). Cette vulnérabilité survient lorsque la mémoire n’est pas libérée correctement et peut entrainer des erreurs pouvant provoquer le plantage du système, ou encore l’exécution arbitraire de code.
CVE-2019-13700 [CVSSv3 8.8] : dépassement de tampon en lecture (« Buffer OverRun »). Cette vulnérabilité survient lorsqu’un itérateur continue de lire dans la mémoire alors que l’ensemble des données qui était à lire ait été parcouru. Cela peut entraîner la divulgation d’informations.
CVE-2019-13701 [CVSSv3 4.3] : possibilité d’usurper une URL (« URL Spoofing »). Une URL usurpée est un lien frauduleux qui est masqué pour ressembler à une source légitime afin de voler les données de l’utilisateur. Il suffit parfois de cliquer sur une URL usurpée pour infecter l’appareil de l’utilisateur avec un logiciel malveillant.

Pour Firefox les vulnérabilités critiques et importantes sont les suivantes :

CVE-2019-11764 [CVSSv3 non défini (Critique)] : corruption de la mémoire due à des dysfonctionnements (« bug »). La corruption de la mémoire peut entrainer l’exécution arbitraire de code.
CVE-2018-6156 [CVSSv3 8.8] : corruption de la pile (« Heap Corruption »). La pile est une partie de la mémoire allouée pour l'exécution d'une tâche. Dans la plupart des cas une corruption de la pile entraîne un plantage de l’application.
CVE-2019-15903 [CVSSv3 7.5] : dépassement de tampon en lecture basé sur la pile « heap-based buffer over-read ». Cette vulnérabilité survient lorsqu’un itérateur continue de lire dans la pile alors que l’ensemble des données qui était à lire ait été parcouru. Cela peut entraîner la divulgation d’informations.
CVE-2019-11757 [CVSSv3 non défini (importante)] : utilisation de la mémoire après libération de celle-ci. (« Use-after-free »). Cette vulnérabilité survient lorsque la mémoire n’est pas libérée correctement et peut entraîner des erreurs pouvant provoquer le plantage du système, ou encore l’exécution arbitraire de code.