Multiples vulnérabilités dans Google Chrome

Date de publication :

Les quatre vulnérabilités suivantes concernent une erreur de libération de mémoire après utilisation dans différentes fonctions de Google Chrome. Celles-ci permettent à un attaquant distant, en persuadant une victime de visiter un site Web spécialement forgé, d’exécuter du code arbitraire sur le système.

CVE-2022-3196, CVE-2022-3197 et CVE-2022-3198[Score CVSS v3.1: 8.8]

Ces vulnérabilités concernent la fonction PDF.

CVE-2022-3199[Score CVSS v3.1: 8.8]

Cette vulnérabilité concerne la fonction Frames.

CVE-2022-3200[Score CVSS v3.1: 8.8]

Un débordement des limites de mémoire dans Google Chrome permet à un attaquant, en incitant une victime à visiter un site Web spécialement forgé, d’exécuter du code arbitraire sur le système.

CVE-2022-3201[Score CVSS v3.1: 8.8]

Une validation insuffisante des entrées non fiables dans DevTools permet à un attaquant, en incitant une victime à visiter un site Web spécialement forgé, de contourner la politique de sécurité du système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Contournement de la politique de sécurité

Criticité

    Score CVSS v3.1: 8.8 max

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentées.

Un correctif existe

    Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

    Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-416: Use After Free

CWE-20: Improper Input Validation

CWE-122: Heap-based Buffer Overflow

Détails sur l’exploitation

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

    Les versions comprises entre 70.0.3538.67 et 105.0.5195.102 de Google Chrome sont affectées par cette vulnérabilité.

Solutions ou recommandations

  • Mettre à jour Google Chrome aux versions 105.0.5195.125 et suivantes.

  • Des informations complémentaires sont disponiblesici.

Liens