Deux vulnérabilités critiques corrigées pour le navigateur Chrome
Date de publication :
Google vient de publier une nouvelle mise à jour pour son navigateur Chrome pour les plateformes Linux, Mac et Windows. Cette nouvelle version (Google Chrome 78.0.3904.87) adresse 2 vulnérabilités possiblement critiques, leur score CVSSv3 étant toujours en cours de calcul. Google alerte néanmoins ces milliards d’utilisateurs : l’une des deux vulnérabilités est exploitée par des attaquants ; la mise à jour doit donc être appliquée dans les plus brefs délais. Ces deux vulnérabilités pourraient permettre à un attaquant à distance d’exécuter arbitrairement du code sur le système de sa cible, pouvant ainsi mener par exemple à la prise de contrôle de celui-ci.
L’une de ces deux vulnérabilités a été découverte par deux chercheurs de chez Kaspersky, une société privée de sécurité informatique proposant des solutions antivirus, Anton Ivanov et Alexey Kulaev qui l’ont baptisée « Operation WizardOpium ». En effet, celle-ci serait exploitée par des attaquants ; elle était ainsi considérée comme une vulnérabilité « jour zéro » jusqu’au correctif de Google.
Détails techniques :
- CVE-2019-13720 [CVSSv3 8.8] : utilisation de la mémoire après libération de celle-ci (« User-After-Free »). Ce type de vulnérabilité survient lorsque la mémoire n’est pas libérée correctement, ce qui peut entraîner des erreurs pouvant provoquer le plantage du système, ou encore l’exécution arbitraire de code. Dans le cas présent, les chercheurs de Kaspersky affirment que des attaquants utilisent activement cette vulnérabilité pour effectuer de l’exécution arbitraire de code à distance, et ainsi compromettre l’ordinateur d’utilisateurs Chrome. Cette vulnérabilité réside dans un module audio.Peu de détails ont été publiés étant donné que de nombreux utilisateurs de Chrome n’ont pas encore fait la mise à jour. L’exploitation de celle-ci est cependant avérée ; les chercheurs de Kaspersky ont découvert son exploitation sur un site d’actualité coréen. Un fichier JavaScript injecté sur la page principale du site compromettait l’ordinateur des visiteurs en chargeant plusieurs fichiers malveillants pour exploiter la vulnérabilité.
- CVE-2019-13721 [CVSSv3 8.8] : utilisation de la mémoire après libération de celle-ci (« User-After-Free ») pouvant entraîner l’exécution arbitraire de code par un attaquant à distance. Cette vulnérabilité est présente dans le module PDFium de Chrome. Ce module permet de manipuler des PDF (lecture, recherche, impression, etc.).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution arbitraire de code à distance
- Déni de service
Criticité
- Score CVSS : 8.8 [maximum]
Existence d’un code d’exploitation de la vulnérabilité
- La vulnérabilité CVE-2019-13720 est exploitée par des attaquants. Les équipes de Kaspersky ont également créé une preuve de concept pour les équipes de Google.
- Il n’existe pas de code d’exploitation pour la seconde vulnérabilité (CVE-2019-13721) connu à ce jour.
Composants & versions vulnérables
- Versions de Chrome antérieures à 78.0.3904.87
CVE
- CVE-2019-13720
- CVE-2019-13721
Solutions ou recommandations
Mise en place de correctif de sécurité
- Un correctif de sécurité a été mis en place par les équipes de Google, il est fortement recommandé d’appliquer celui-ci en mettant à jour Chrome à une version supérieure ou égale à 78.0.3904.87
Solution de contournement
- Aucune solution de contournement n’existe.