Google corrige de multiples vulnérabilités sur son navigateur Google Chrome
Date de publication :
L'équipe de développement de Chrome a publié un bulletin de sécurité corrigeant 39 vulnérabilités sur son navigateur Google Chrome, dont certaines sont considérées comme critiques.
Selon l’environnement dans lequel s’exécute Google Chrome, un attaquant pourrait les exploiter afin d’effectuer une exécution de code arbitraire, de créer un compte avec les mêmes droits d’exécution, d'installer d’autres programmes ou encore de lire, modifier et supprimer des données.
Ces attaques seraient simples à mettre en œuvre et, pour certaines de ces vulnérabilités, ne nécessiteraient pas d'authentification. L'impact estimé sur la confidentialité et l'intégrité des données est très important.
Google Chrome est un navigateur web très utilisé présent sur les systèmes d'exploitation Windows, macOS et Linux. Ce navigateur utilise différentes surcouches logicielles fonctionnant sur les différents systèmes d’exploitation possédant des vulnérabilités : Cors, Android, Angle, Blink, PDFium, V8, Autofil, Omnibox.
Détails techniques :
- Les vulnérabilités considérées comme critiques sont les suivantes :
- CVE-2019-5805 [CVSS V3 6.3] : Utilisation après libération de mémoire sur PDFium.
- CVE-2019-5806 [CVSS V3 6.3] : Dépassement d'un nombre entier dans Angle.
- CVE-2019-5807 [CVSS V3 6.3] : Corruption de la mémoire dans le V8.
- CVE-2019-5808CVE-2019-5809 [CVSS V3 6.3] : Utilisation après libération de mémoire sur Blink.
- Les vulnérabilités considérées comme modérées incluent les vulnérabilités suivantes :
- CVE-2019-5810 [CVSS V3 4.3] : Divulgation des informations de l'utilisateur dans Autofill.
- CVE-2019-5811, CVE-2019-5814 [CVSS V3 4.3] : Contournement de CORS Blink.
- CVE-2019-5812 [CVSS V3 4.3] : Usurpation d'URL dans Omnibox sous iOS.
- CVE-2019-5813 [CVSS V3 4.3] : Lecture hors-limites en V8.
- Enfin, les vulnérabilités suivantes sont considérées comme étant de faible impact :
- CVE-2019-5815 [CVSS V3 4.3] : Débordement de lecture sur le tas sur Blink.
- CVE-2019-5816 [CVSS V3 4.3] : Exploitation d’une extension persistante sur Android.
- CVE-2019-5817 [CVSS V3 4.3] : Dépassement de tampon dans Angle sur Windows.
- CVE-2019-5818 [CVSS V3 4.3] : Valeur non initialisée dans le lecteur de médias.
- CVE-2019-5819 [CVSS V3 4.3] : Echappement de caractères dans les outils de développement.
- CVE-2019-5820CVE-2019-5821 [CVSS V3 4.3] : Dépassement d'entier dans PDFium.
- CVE-2019-5822 [CVSS V3 4.3] : Contournement de CORS dans le gestionnaire de téléchargement.
- CVE-2019-5823 [CVSS V3 4.3] : Navigation forcée de la part d'un script de type Service Worker.
Des correctifs ont été publiés par Google et sont disponibles au téléchargement depuis le 24 avril 2019. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire ;
- Modification des paramètres.
Criticité
- Score CVSS : En cours d'évaluation.
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d’exploitation n’est disponible.
Composants & versions vulnérables
- Les versions de Google Chrome avant 74.0.3729.108.
CVE
- CVE-2019-5805
- CVE-2019-5806
- CVE-2019-5807
- CVE-2019-5808
- CVE-2019-5809
- CVE-2019-5810
- CVE-2019-5811
- CVE-2019-5812
- CVE-2019-5813
- CVE-2019-5814
- CVE-2019-5815
- CVE-2019-5816
- CVE-2019-5817
- CVE-2019-5818
- CVE-2019-5819
- CVE-2019-5820
- CVE-2019-5821
- CVE-2019-5822
- CVE-2019-5823
Solutions ou recommandations
Mise en place de correctif de sécurité
- Une mise à jour proposée par Google corrige l'ensemble des vulnérabilités mentionnées dans le bulletin.
Solution de contournement
- Aucune solution de contournement n’est proposée.