Google Chrome - CVE-2026-5858
Date de publication :
Il s'agit d'une vulnérabilité de débordement de tampon dans le tas affectant le composant WebML de Google Chrome.
Google Chrome est un navigateur web développé par Google, disponible sur Windows, macOS, Linux, Android et iOS. Il sert de base au projet open-source Chromium, sur lequel reposent également Microsoft Edge, Brave, Opera et de nombreuses applications de bureau construites avec le framework Electron.
WebML est l'implémentation de la Web Neural Network API, permettant l'exécution accélérée d'inférences de réseaux de neurones directement dans le navigateur. Lors du traitement d'opérations WebML déclenchées par une page HTML forgée, l'implémentation omet de valider les limites mémoire avant d'écrire dans un tampon alloué sur le tas.
Elle permet à un attaquant distant de provoquer une exécution de code arbitraire dans le processus renderer en faisant visiter une page malveillante à la victime.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-122 : Heap-based Buffer Overflow
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Google Chrome versions antérieures à 147.0.7727.55 (Linux)
• Google Chrome versions antérieures à 147.0.7727.55/56 (Windows/Mac)
Solutions ou recommandations
- Google Chrome versions 147.0.7727.55 et supérieures (Linux).
- Google Chrome versions 147.0.7727.55 / 147.0.7727.56 et supérieures (Windows/Mac).