Google - CVE-2026-4676
Date de publication :
Il s'agit d'une vulnérabilité de type use-after-free dans le composant Dawn, la couche d'abstraction graphique de Chrome qui implémente l'API WebGPU.
Un accès à une zone mémoire déjà libérée peut être déclenché via une page HTML spécialement conçue. Cette classe de vulnérabilité permet typiquement à un attaquant de contrôler le flux d'exécution du processus. L'éditeur indique explicitement un potentiel d'échappement du bac à sable (sandbox escape).
Elle permet à un attaquant distant de potentiellement exécuter du code arbitraire en dehors du bac à sable du navigateur via une page web piégée.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-416 : Use After Free
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Google Chrome versions antérieures à 146.0.7680.165 sur Windows et macOS
• Google Chrome versions antérieures à 146.0.7680.164 sur Linux
Solutions ou recommandations
• Google Chrome versions 146.0.7680.164 et supérieures sur Linux