Multiples vulnérabilités dans Google Chrome

Date de publication :

CVE-2022-3652[Score CVSS v3.1: 8.8]

Une vulnérabilité de type « confusion de type » dans le moteur JavaScript V8 permet à un attaquant, en persuadant sa victime à visiter un site spécifiquement forgé, d’élever ses privilèges.

CVE-2022-3653[Score CVSS v3.1:8.8]

Une vulnérabilité du type débordement de la mémoire tampon dans le composant Vulkan permet à un attaquant, en persuadant sa victime à visiter un site spécifiquement forgé, de corrompre la mémoire afin d’obtenir une exécution de code arbitraire sur le système.

CVE-2022-3654[Score CVSS v3.1:8.8]

Une erreur de libération de mémoire dans le composant Layout de Google Chrome permet à un attaquant, en persuadant sa victime à visiter un site spécifiquement forgé, de corrompre la mémoire afin d’obtenir une exécution de code arbitraire sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Élévation de privilèges

    Exécution de code arbitraire

Criticité

    Score CVSS v3.1: 8.8

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentées.

Un correctif existe

    Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

    Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-843: Access of Resource Using Incompatible Type ('Type Confusion')

CWE-122: Heap-based Buffer Overflow

CWE-416: Use After Free

Détails sur l’exploitation

Pour l’ensemble des CVE présentées

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Non.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour l’ensemble des CVE présentées

    Google Chrome versions inférieures à 107.0.5304.62 pour Mac

    Google Chrome versions inférieures à 107.0.5304.68 pour linux

    Google Chrome versions inférieures à 107.0.5304.62 pour Windows

    Microsoft Edge versions inférieures à 107.0.1418.24

    Les navigateurs basés sur une version de Chronium inférieure à 107.0.5304.62

Solutions ou recommandations

Pour l’ensemble des CVE présentées

  • Mettre à jour Google Chrome vers les versions 107.0.5304.62 pour Mac, 107.0.5304.68 pour linux et 107.0.5304.62/63 pour Windows.
  • Mettre à jour Microsoft Edge vers la version 107.0.1418.24 ou une version supérieure (plus d’informations disponibles ici).
  • Mettre à jour les navigateurs basés sur Chronium.
  • Plus d’informations disponibles ici.

Liens