Vulnérabilités dans Google Chrome

Google Chrome a publié un bulletin de sécurité à propos de plusieurs vulnérabilités. Le bulletin officiel est accessible ici : https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_28.html

CVE-2021-37997[Score CVSS v3.1: 8.8]
Une vulnérabilité concernant une utilisation incorrecte de la mémoire dynamique (user-after free) a été identifiée par l’expert en cybersécurité Wei Yuan du laboratoire MoyunSec VLab. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en incitant un utilisateur à visiter un site web malveillant, pour exécuter du code. La réussite de cette attaque peut permettre à l’attaquant d’effectuer un déni de service (Dos), de corrompre les données du navigateur, ce qui résulterait en un dysfonctionnement général du navigateur.

CVE-2021-37998[Score CVSS v3.1: 7,7]
Cassidy Kim, du groupe d’expertise informatique Amber Security, a révélé que le composant de récupération de mémoire (Garbage Collection) de Google Chrome est concerné par une vulnérabilité. Il s’agit d’une utilisation incorrecte de la mémoire dynamique (user-after-free). En incitant un utilisateur à visiter un site Web malveillant, un attaquant distant et non-authentifié pourrait profiter de la vulnérabilité et compromettre le système ciblé.

CVE-2021-38000[Score CVSS v3.1: 8,4]
Les experts en cybersécurité de Google Chrome ont détecté une vulnérabilité au niveau de l’implémentation du moteur V8 JavaScript. En incitant un utilisateur à visiter un site Web malveillant, l’attaquant distant et authentifié serait ainsi en mesure d’effectuer une exécution de code arbitraire sur le système ciblé. L’attaquant pourrait aussi potentiellement élever ses privilèges et avoir accès à des données sensibles. Point important : cette vulnérabilité est activement exploitée.

CVE-2021-38001[Score CVSS v3.1: 8.8]
Le laboratoire de cybersécurité Kunlun Lab a découvert une vulnérabilité dans le composant V8 de Google Chrome.  Il s’agit d’une vulnérabilité de type « confusion de type ». Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en incitant un utilisateur à visiter une page Web malveillante, pour effectuer une exécution de code arbitraire ou de corrompre le système ciblé.
 

CVE-2021-38002[Score CVSS v3.1: 7,7]
Le laboratoire de recherche en cybersécurité Alpha Lab a détecté une vulnérabilité. Celle-ci est basée sur une utilisation incorrecte de la mémoire dynamique (user-after-free) dans le composant Web Transport de Google Chrome. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en incitant un utilisateur à visiter une page Web malveillante, pour compromettre le système ciblé.
 

CVE-2021-38003[Score CVSS v3.1: 8,4]
Clément Lecigne et Samuel Groß ont étudiés une vulnérabilité située dans l’implémentation du moteur V8 JavaScript de Google Chrome. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en incitant un utilisateur à visiter une page Web malveillante, pour compromettre le système ciblé.
Point important : cette vulnérabilité est activement exploitée.