Multiples vulnérabilités critiques dans Google Chrome

Date de publication :

FedCM, pour Federated Credential Management, est une interface de programmation d’application de Google Chrome qui vise à protéger la confidentialité des utilisateurs lorsqu’ils naviguent sur internet.

Web Intents est une interface de programmation d’application de Google Chrome qui peut être utilisée pour lancer des applications à partir de pages web et communiquer des informations à ces applications.

CVE-2022-2852[Score CVSS v3.1: 9.6] (critique)

Une libération de mémoire incorrecte dans FedCM permet à un attaquant distant, en persuadant sa victime à visiter un site web spécifiquement forgé, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

CVE-2022-2856[Score CVSS v3.1: 8.8]

Un défaut de vérification des données entrées par les utilisateurs dans Web Intents permet à un attaquant distant et non authentifié, en persuadant sa victime à visiter un site web spécifiquement forgé, d’exécuter du code arbitraire sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Déni de service

Criticité

    Score CVSS v3.1: 9.6 max

La faille est activement exploitée

Un correctif existe

    Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

    Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-416: Use After Free

CWE-20: Improper Input Validation

Détails sur l’exploitation

Pour les CVE-2022-2852 et CVE-2022-2856

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour les CVE-2022-2852 et CVE-2022-2856

    Google Chrome versions 70.0.3538.67 à 104.0.5112.81

Solutions ou recommandations

  • Mettre à jour Google Chrome vers la version 104.0.5112.101 ou à une version supérieure (plus d’informations ici)

Liens