Google corrige 8 vulnérabilités critiques dans une nouvelle version de Google Chrome
Date de publication :
Google vient de publier une nouvelle mise à jour pour Google Chrome. Cette nouvelle version de Google Chrome (Google Chrome 77.0.3865.120) adresse 8 vulnérabilités dont 5 vulnérabilités critiques identifiées dans le cadre du programme de bug bounty de Google.
Un bug bounty est un programme proposé par de nombreux sites web et développeurs de logiciel qui permet à des personnes de recevoir reconnaissance et compensation après avoir reporté des bugs, surtout ceux concernant des exploits et des vulnérabilités.
CVE-2019-13693[Score CVSSv3 8.8] : Une vulnérabilité de type utilisation après libération mémoire a été identifiée dans la base IndexedDB (Base de données interne du navigateur comme défini par les standards W3C) de Google Chrome. Cette vulnérabilité pourrait permettre à un utilisateur malveillant distant d’exécuter du code arbitraire sur le système cible en persuadant une victime de visiter un site Web spécialement conçu.
CVE-2019-13694[Score CVSSv3 8.8] : Une vulnérabilité de type utilisation après libération mémoire a été identifiée dans la base WebRTC (Web Real-Time Communication, interface de programmation Javascript développée au sein du W3C pour gérer les communications temps réelles dans les navigateurs : VoIP, P2P, etc.) de Google Chrome. Cette vulnérabilité pourrait permettre à un utilisateur malveillant distant d’exécuter du code arbitraire sur le système cible en persuadant une victime de visiter un site Web spécialement conçu.
CVE-2019-13695[Score CVSSv3 8.8] : Une vulnérabilité de type utilisation après libération mémoire a été identifiée dans la gestion de l’audio de Google Chrome. Cette vulnérabilité pourrait permettre à un utilisateur malveillant distant d’exécuter du code arbitraire sur le système cible en persuadant une victime de visiter un site Web spécialement conçu.
CVE-2019-13696[Score CVSSv3 8.8] : Une vulnérabilité de type utilisation après libération mémoire a été identifiée dans le moteur JavaScript V8 de Google Chrome. Le moteur de JavaScript V8 est un moteur JavaScript libre et open source développé par Google Danemark et utilisé dans de nombreux projets (ex : Google Chrome, Chromium, node.js, etc.). Cette vulnérabilité pourrait permettre à un utilisateur malveillant distant d’exécuter du code arbitraire sur le système cible en persuadant une victime de visiter un site Web spécialement conçu.
CVE-2019-13697[Score CVSSv3 à définir] : Une vulnérabilité a été identifiée dans Google Chrome. Cette vulnérabilité permet à un attaquant de récupérer des informations sensibles via une fuite de données sur la taille des pages distantes (« cross-origin size leak »).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code à distance
- Perte de confidentialité
Criticité
- Score CVSS : 8.8 [maximum]
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d’exploitation n’est disponible.
Composants & versions vulnérables
- Google Chrome versions antérieures à 77.0.3865.120 (Windows, Mac et Linux)
CVE
Solutions ou recommandations
Mise en place de correctif de sécurité
- Google a publié une mise à jour de Google Chrome (77.0.3865.120) contenant les patchs de sécurité qui doivent être appliqués.
Solution de contournement
- Aucune solution de contournement n’a été identifiée en dehors de la mise à jour