Vulnérabilités dans Google Chrome
Date de publication :
Cette première liste concerne les vulnérabilités de type « user after free ». Une mauvaise configuration de l’accès mémoire peut permettre une attaque par XSS. Un attaquant incitant un utilisateur à visiter un site web peut provoquer un déni de service ou exécuter du code arbitraire sur son système.
CVE-2022-1127[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne le générateur de QR code.
CVE-2022-1131[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne le service Cast UI.
CVE-2022-1133[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne le service WebRTC.
CVE-2022-1135[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne le service de panier d’achat.
CVE-2022-1136 [Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne l’objet TabStrip.
CVE-2022-1141 [Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne le gestionnaire de fichiers.
CVE-2022-1144 [Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne WebUI.
CVE-2022-1145 [Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne le service des extensions.
Cette seconde liste concerne d’autres vulnérabilités (débordement de mémoire tampon et erreur « type confusion »). L’exploitation permet à l’attaquant de provoquer un déni de service ou l’exécution de code arbitraire sur le système.
CVE-2022-1134[Score CVSS v3.1: 8.8]
Cette vulnérabilité est de type « confusion error » et se situe dans le moteur Javascript V8.
CVE-2022-1142 CVE-2022-1143 [Score CVSS v3.1: 8.8]
Ces deux vulnérabilités concernent un débordement de mémoire tampon dans WebUI.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3.1: 8.8
La faille est activement exploitée
- Non, pour l’ensemble des vulnérabilités présentées.
Un correctif existe
- Oui, pour l’ensemble des vulnérabilités présentées.
Une mesure de contournement existe
- Non, pour l’ensemble des vulnérabilités présentées.
Les vulnérabilités exploitées sont du type
Pour les CVE-2022-1145, CVE-2022-1144, CVE-2022-1141, CVE-2022-1136, CVE-2022-1135, CVE-2022-1133, CVE-2022-1131 et CVE-2022-1127.
Pour les CVE-2022-1143, CVE-2022-1142.
Pour la CVE-2022-1134.
Détails sur l’exploitation
Pour l’ensemble des vulnérabilités :
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des vulnérabilités :
- Le navigateur Google Chrome 100
Solutions ou recommandations
- Mettre à jour Google Chrome à la version 100.0.4896.60 ou supérieure. Des informations supplémentaires sont disponibles ici.