Chrome corrige 52 failles de sécurité dans sa dernière version

Dans la nouvelle version du navigateur Chrome de Google, la version 77, les équipes de développement ont apporté 52 correctifs de sécurité pour le logiciel. Parmi les vulnérabilités corrigées, l'une d'entre elles est considérée comme critique et 8 sont considérées comme importantes.

Sur l’ensemble des correctifs, 36 vulnérabilités corrigées ont été initialement découvertes par des chercheurs externes à l’équipe de Chrome. Au total, c’est plus de 33 000$ qui ont été versés à travers des plateformes de bug bounty (programmes de recherche de bugs et vulnérabilités en échange d’une prime) pour la découverte de ces failles.

Détails techniques :

• CVE-2019-5870 [Score CVSS v3 en attente d’évaluation] : Cette vulnérabilité, considérée comme critique, affecte la composante media du navigateur et est de type « use-after-free » : quand un pointeur n’est pas déréférencé après une libération de la mémoire, et réutilisé après, cela peut entraîner un comportement non prédictible du logiciel. Cette faille a été rapportée à l’équipe Chrome le 29 Août 2019.

Les vulnérabilités considérées comme importantes sont les suivantes :

• CVE-2019-5871 : dépassement de mémoire par le tas dans Skia (librairie graphique d’images vectorielles)
• CVE-2019-5872 : « use-after-free » dans Mojo (quadriciel pour de la communication inter-processus, utilisé par Chrome)
• CVE-2019-5873 : usurpation dans la barre d’adresse sur iOS
• CVE-2019-5874 : URIs externes qui peuvent déclencher le lancement d’autres navigateurs
• CVE-2019-5875 : usurpation dans la barre d’adresse via une redirection de téléchargement
• CVE-2019-5876 : « use-after-free » dans la composante media de Chrome
• CVE-2019-5877 : accès à des données hors-limite dans V8 (moteur JavaScript utilisé par Chrome)
• CVE-2019-5878 : « use-after-free » dans V8 (moteur JavaScript utilisé par Chrome)