Vulnérabilités multiples dans le moteur Chromium
Date de publication :
Certaines de ces vulnérabilités devraient, dans quelques jours, être également publiées par l’équipe de sécurité Microsoft, pour le navigateur Edge.
CVE-2022-2477[Score CVSS v3.1: 8.8]
Un défaut de libération de mémoire après utilisation dans le mode Guest View de Google Chrome permet à un attaquant distant, en incitant la victime à visiter une page Web spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-2478[Score CVSS v3.1: 8.8]
Un défaut de libération de mémoire après utilisation dans le logiciel PDF Viewer de Google Chrome permet à un attaquant distant, en incitant la victime à visiter une page Web spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-2479[Score CVSS v3.1: 8.8]
Une validation insuffisante des entrées fournies par l'utilisateur dans le répertoire « Fichiers » permet à un attaquant distant, en incitant la victime à visiter une page Web spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-2480[Score CVSS v3.1: 8.8]
Un défaut de libération de la mémoire après utilisation dans l’API ServiceWorker de Google Chrome permet à un attaquant distant, en incitant la victime à visiter une page Web spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-2481[Score CVSS v3.1: 8.8]
Un défaut de libération de la mémoire après utilisation dans le logiciel Views de Google Chrome permet à un attaquant distant, en incitant la victime à visiter une page Web spécialement conçue, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 8.8
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour les CVE-2022-2477, CVE-2022-2478 , CVE-2022-2480 et CVE-2022-2481
Pour la CVE-2022-2479
CWE-20: Improper Input Validation
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des CVE présentées :
Chrome Desktop aux versions antérieures à la 103.0.5060.134
Solutions ou recommandations
Mettre à jour le navigateur Chrome Desktop vers la version 103.0.5060.134. Des informations complémentaires sont disponibles ici.