Multiples vulnérabilités dans Google Chrome
Date de publication :
Les six vulnérabilités suivantes concernent une erreur de libération de mémoire après utilisation dans différentes fonctions de Google Chrome. Celles-ci permettent à un attaquant distant, en persuadant une victime de visiter un site Web spécialement forgé, d’exécuter du code arbitraire sur le système.
CVE-2022-2603[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne l’interface de programmation d’application « Omnibox ».
CVE-2022-2604[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne le service « Safe Browsing ».
CVE-2022-2606[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne l’interface de programmation d’application « Managed devices ».
CVE-2022-2607[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne la fonctionnalité « Tab Strip ».
CVE-2022-2608[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne la fonctionnalité « Overview Mode ».
CVE-2022-2609[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne la fonctionnalité de partage de fichiers avec des appareils à proximité.
CVE-2022-2611[Score CVSS v3.1: 8.1]
Un défaut dans l’implémentation de l’interface de programmation d’application Plein Écran de Google Chrome permet à un attaquant distant, en incitant la victime à visiter une page Web spécialement forgée, d’accéder à des informations sensibles.
CVE-2022-2616[Score CVSS v3.1: 8.1]
Un défaut dans l’implémentation de l’interface de programmation d’application Extensions de Google Chrome permet à un attaquant distant, en incitant la victime à visiter une page Web spécialement forgée, d’accéder à des informations sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Atteinte à la confidentialité des données
Criticité
Score CVSS v3.1: 8.8 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour les CVE-2022-2603, CVE-2022-2604, CVE-2022-2606, CVE-2022-2607, CVE-2022-2608 et CVE-2022-2609
Pour les CVE-2022-2611 et CVE-2022-2616
CWE-358: Improperly Implemented Security Check for Standard
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les versions comprises entre 70.0.3538.67 et 103.0.5060.134 de Google Chrome sont affectées par cette vulnérabilité.
Solutions ou recommandations
Mettre à jour Google Chrome aux versions 104.0.5112.79 et suivantes. Des informations complémentaires sont disponibles ici.