Vulnérabilités dans le navigateur Chrome de Google

Date de publication :

Animation est une extension qui permet la génération de code css pour une page web.



Le processus GPU (Graphic Processing Unit) est utilisé par le navigateur pour accélérer le rendu de pages web dotées d’éléments graphiques.

CVE-2022-0609[Score CVSS v3.1: 8.8]

Une gestion incorrecte des données dans l’extension Animation peut permettre à un attaquant d’inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.

CVE-2022-0607[Score CVSS v3.1: 8.8]

Une gestion incorrecte des données dans le processus GPU peut permettre à un attaquant d'inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.

CVE-2022-0606[Score CVSS v3.1: 8.8]

Une gestion incorrecte des données dans le moteur graphique Angle peut permettre à un attaquant d'inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.

CVE-2022-0604[Score CVSS v3.1: 8.8]

Un débordement de mémoire tampon dû à un manque de contrôle des limites dans le gestionnaire des onglets peut permettre à un attaquant d’inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.

CVE-2022-0603[Score CVSS v3.1: 8.8]

Une gestion incorrecte des données dans le gestionnaire des fichiers peut permettre à un attaquant d’inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Déni de service

Criticité

    Score CVSS v3.1: 8.8 max

La faille est activement exploitée

Un correctif existe

    Oui, pour l’ensemble des CVE présentés

Une mesure de contournement existe

    Non, pour l’ensemble des CVE présentés

Les vulnérabilités exploitées sont du type    

Pour la CVE-2022-0609

Pour la CVE-2022-0607

Pour la CVE-2022-0606

Pour la CVE-2022-0604

Pour la CVE-2022-0603

 

Détails sur l’exploitation

Pour l’ensemble des CVE présentés :

    Vecteur d’attaque : Réseau

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Aucun

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

    Google Chrome 98.

Solutions ou recommandations

  • Appliquer la mise à jour du navigateur Chrome vers la version 98.0.4758.102, ou toutes autres versions ultérieures.
  • Des informations supplémentaires sont disponibles dans le bulletin Chrome ici.

Liens