Vulnérabilités dans Chrome
Date de publication :
Le mardi 4 janvier 2022, l’entreprise Google a publié une nouvelle mise à jour importante concernant l’évolution du navigateur Chrome 96 vers la version 97. Cette nouvelle version apporte un lot de correctifs traitant plusieurs vulnérabilités.
CVE-2022-0102, CVE-2022-0105, CVE-2022-0106, CVE-2021-0107, CVE-2022-0098, CVE-2022-0099[Score CVSS v3.1: 8.8]
L’éditeur a découvert que la mémoire dynamique utilisée par le navigateur Chrome n’était pas gérée de manière optimale. En incitant l’utilisateur à visiter un site Web malveillant, un attaquant distant pourrait exploiter ces vulnérabilités afin de générer un déni de service ou exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Déni de service
Criticité
Score CVSS v3.1: 8.8 max
La faille est activement exploitée
Non pour l’ensemble des CVE présentés
Un correctif existe
Oui pour l’ensemble des CVE présentés
Une mesure de contournement existe
Non pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
Concernant les CVE-2022-0105, CVE-2022-0106, CVE-2021-0107, CVE-2022-0098, CVE-2022-0099
CWE-416 : Use After Free
Concernant la CVE-2022-0102
CWE-843 : Access of Resource Using Incompatible Type
Détails sur l’exploitation
Pour l’ensemble des CVE présentés :
Vecteur d’attaque : réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Non
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour l’ensemble des CVE présentés
Les versions antérieures à la version 97.0.4692.71 de Google Chrome.
Solutions ou recommandations
Pour l’ensemble des CVE présentés :
- Effectuer la mise à jour de Google Chrome vers la version 97.0.4692.71.