Vulnérabilité dans le moteur JavaScript V8 du navigateur Chrome de Google

Risques

• Exécution de code arbitraire
• Déni de service

Criticité

• Score CVSS v3.1: 8.8

La faille est activement exploitée

• Oui, Google signale que cette vulnérabilité est activement exploitée

Un correctif existe

• Oui

Une mesure de contournement existe

• Non

Les vulnérabilités exploitées sont du type    

• CWE-843: Access of Resource Using Incompatible Type ('Type Confusion')

Détails sur l’exploitation

• Vecteur d’attaque : Réseau.
• Complexité de l’attaque : Faible.
• Privilèges nécessaires pour réaliser l’attaque : Aucun.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

La vulnérabilité concerne le logiciel suivant :

• Navigateur Chrome de Google, les versions antérieures à 100.0.4896.127 (Android, Linux, Mac, Windows).
• Les navigateurs basés sur Chromium (les versions concernées et les mises à jour ne sont pas encore connues) : Opera, Vivaldi, Brave et Edge.

Mettre à jour le logiciel concerné par la vulnérabilité vers la version suivante :

• 100.0.4896.127, ou toutes autres versions ultérieures.
   
• ​​​​​​​La version 100.0.4896.127 concerne les systèmes d’exploitation Windows, Linux et Mac. La dernière version est disponible ici, une aide est disponible ici.
   
• ​​​​​​​La version 100.0.4896.127 pour Android est disponible sur Google Play ici.
   
• ​​​​​​​Les navigateurs basés sur Chromium (Opera, Vivaldi, Edge et Brave) sont aussi concernés par cette vulnérabilité. Les utilisateurs de ces navigateurs sont invités à être attentifs aux mises à jour qui seront disponibles dans les prochains jours.
  ​​​​​​​
• Des informations complémentaires sont disponibles ici