Vulnérabilités dans Chrome
Date de publication :
Le mardi 4 janvier 2022, l’entreprise Google a publié une nouvelle mise à jour importante concernant l’évolution du navigateur Chrome 96 vers la version 97. Cette nouvelle version apporte un lot de correctifs traitant plusieurs vulnérabilités.
CVE-2022-0102, CVE-2022-0105, CVE-2022-0106, CVE-2021-0107, CVE-2022-0098, CVE-2022-0099[Score CVSS v3.1: 8.8]
L’éditeur a découvert que la mémoire dynamique utilisée par le navigateur Chrome n’était pas gérée de manière optimale. En incitant l’utilisateur à visiter un site Web malveillant, un attaquant distant pourrait exploiter ces vulnérabilités afin de générer un déni de service ou exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3.1: 8.8 max
La faille est activement exploitée
- Non pour l’ensemble des CVE présentés
Un correctif existe
- Oui pour l’ensemble des CVE présentés
Une mesure de contournement existe
- Non pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
Concernant les CVE-2022-0105, CVE-2022-0106, CVE-2021-0107, CVE-2022-0098, CVE-2022-0099
- CWE-416 : Use After Free
Concernant la CVE-2022-0102
- CWE-843 : Access of Resource Using Incompatible Type
Détails sur l’exploitation
Pour l’ensemble des CVE présentés :
- Vecteur d’attaque : réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Non
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour l’ensemble des CVE présentés
- Les versions antérieures à la version 97.0.4692.71 de Google Chrome.
Solutions ou recommandations
Pour l’ensemble des CVE présentés :
- Effectuer la mise à jour de Google Chrome vers la version 97.0.4692.71.