Multiples vulnérabilités dans Google Chrome

Date de publication :

Une erreur de libération de mémoire dans différents composants de Google Chrome permet à un attaquant, en persuadant sa victime à visiter un site web spécialement forgé, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

CVE-2022-3445[Score CVSS v3.1:8.8]

Cette vulnérabilité affecte la bibliothèque graphique Skia.

CVE-2022-3448[Score CVSS v3.1:8.8]

Cette vulnérabilité affecte l’API gérant les autorisations.

CVE-2022-3449[Score CVSS v3.1:8.8]

Cette vulnérabilité affecte Google Safe Browsing.

CVE-2022-3450[Score CVSS v3.1:8.8]

Cette vulnérabilité affecte la fonction de connexion entre pairs.

CVE-2022-3446[Score CVSS v3.1:8.8]

Une erreur d’implémentation dans les onglets personnalisés de Google Chrome permet à un attaquant distant, en persuadant une victime à visiter un site web spécialement forgé, de contourner la politique de sécurité du système.

CVE-2022-3447[Score CVSS v3.1:8.8]

Une faille de type « débordement de mémoire tampon » dans WebSQL permet à un attaquant, en persuadant une victime à visiter un site web spécialement forgé, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Déni de service

    Contournement de la politique de sécurité

Criticité

    Score CVSS v3.1: 8.8 max

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentées.

Un correctif existe

    Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

    Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-416: Use After Free

CWE-122: Heap-based Buffer Overflow

En cours de recherche

Détails sur l’exploitation

Pour l’ensemble des CVE présentées

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

    Google Chrome dans ses versions inférieures à 106.0.5249.119.

Solutions ou recommandations

  • Mettre à jourGoogle Chrome vers la version 106.0.5249.119 ou vers une version supérieure.
  • Plus d’informations disponibles ici.

Liens