Google Chrome - CVE-2023-4863

Date de publication :

Date de mise à jour :

Un défaut de gestion de la mémoire dans le composant WebP de Google Chrome permet à un attaquant non authentifié, en persuadant une victime de consulter un site web spécifiquement forgé, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

CVE-2023-4863

[Score CVSS v3.1: 8.8]

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire
Déni de service

Exploitation

La vulnérabilité exploitée est du type
CWE-122: Heap-based Buffer Overflow

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

Google Chrome versions antérieures à 116.0.5845.187
Mozilla Firefox versions antérieures à 117.0.1
Mozilla Firefox ESR versions antérieures à 102.15.1 et 115.2.1
Mozilla Thunderbird versions antérieures à 102.15.1 et 115.2.2
Microsoft Edge versions antérieures à 116.0.1938.81
Microsoft Skype versions antérieures à 8.10.0.211
Microsoft Webp Image Extensions
Microsoft Teams for Desktop versions antérieures à 1.6.00.24078
Microsoft Teams for Mac versions antérieures à 1.6.00.24065
NetApp Active IQ Unified Manager for VMware vSphere versions 9.12 et 9.13

Solutions ou recommandations

Mettre à jour Google Chrome vers la version 116.0.5845.187/188 ou ultérieure sur Windows.
Mettre à jour Google Chrome vers la version 116.0.5845.187 ou ultérieure sur Mac et Linux.
Mettre à jour Mozilla Firefox vers la version 117.0.1 ou ultérieure.
Mettre à jour Mozilla Firefox ESR vers la version 102.15.1, 115.2.1 ou ultérieure.
Mettre à jour Mozilla Thunderbird vers la version 102.15.1, 115.2.2 ou ultérieure.
Mettre à jour Microsoft Edge vers la version 116.0.1938.81 ou ultérieure.
Mettre à jour Microsoft Skype vers la version 8.10.0.211 ou ultérieure.
Mettre à jour Microsoft Webp Image Extensions.
Mettre à jour Microsoft Teams for Desktop vers la version 1.6.00.24078 ou ultérieure.
Mettre à jour Microsoft Teams for Mac vers la version 1.6.00.24065 ou ultérieure.
Appliquer le correctifde NetApp pour Active IQ Unified Manager for VMware vSphere.

Des informations complémentaires sont disponibles dans le bulletin de Google.

Liens