Vulnérabilités dans WebKitGTK et WPE WebKit
Date de publication :
Plusieurs vulnérabilités ont été révélées dans WebKitGTK et WPE WebKit, deux moteurs de rendu HTML. Un attaquant pourrait, en cas d’exploitation réussie à travers un site web malveillant, provoquer un déni de service et une exécution de code arbitraire.
CVE-2020-3862 [Score CVSS v3 : 6.5] : Un site malveillant pourrait provoquer un déni de service. Cette vulnérabilité est due à une mauvaise gestion de la mémoire et a été corrigée pour la version 2.26.4.
CVE-2020-3867 [Score CVSS v3 : 6.1] : Le traitement de contenus web malveillants peut conduire à du « universal cross-site scripting » (UXSS). Les attaques UXSS visent les navigateurs internet alors que les attaques XSS classiques visent les sites web. WebKitGTK est par exemple utilisé dans le navigateur web de GNOME.
CVE-2020-3868 [Score CVSS v3 : 8.8] : Le traitement de contenus web malveillants pourrait conduire à une exécution de code arbitraire. Cette vulnérabilité est due à une mauvaise gestion de la mémoire dans WebKitGTK.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Déni de service
Injection de code
Exécution de code arbitraire
Criticité
-
Score CVSS v3 : 8.8 maximum
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est pour l’instant disponible
Composants vulnérables
-
WebKitGTK et WPE WebKit versions antérieures à la 2.26.4
CVE
-
CVE-2020-3862
CVE-2020-3864
CVE-2020-3865
CVE-2020-3867
CVE-2020-3868
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour WebKitGTK ou WPE WebKit vers la version 2.26.4 ou supérieure
Solution de contournement
- Aucune solution de contournement n’est disponible