Vulnérabilités dans Google Chrome

Date de publication :

WebXR est un standard d’API développé par Google Chrome pour le développement d’applications en lien avec des équipements de réalité augmentée et réalité virtuelle.

BrowserSwitcher est un module Chrome qui surveille les navigations et bascule automatiquement vers un autre navigateur lorsqu’un ensemble prédéfini d'URL est traité.

CVE-2022-0809[Score CVSS v3.1:8.8]
Une configuration incorrecte de l’accès mémoire dans WebXR peut permettre à un attaquant d’inciter un utilisateur à visiter un site web afin de générer un déni de service ou d’exécuter du code arbitraire sur le système.

CVE-2022-0808[Score CVSS v3.1:8.8]
Une gestion incorrecte de la mémoire dans l’interface de ligne de commande de Chrome OS peut permettre à un attaquant d’inciter un utilisateur à visiter un site web afin de générer un déni de service ou d’exécuter du code arbitraire sur le système.

CVE-2022-0805[Score CVSS v3.1:8.8]
Une gestion incorrecte de la mémoire dans le module Browser Switcher peut permettre à un attaquant d’inciter un utilisateur à visiter un site web afin de générer un déni de service ou d’exécuter du code arbitraire sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service

Criticité

  • Score CVSS v3.1: 8.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentés

Un correctif existe

  • Oui, pour l’ensemble des CVE présentés

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentés

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-0809

Pour la CVE-2022-0808

Pour la CVE-2022-0805

Détails sur l’exploitation

Pour la CVE-2022-0809CVE-2022-0808CVE-2022-0805

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Aucun
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Pour la CVE-2022-0809CVE-2022-0808CVE-2022-0805

  • Ces vulnérabilités affectent Google Chrome dans ses versions antérieures à 99.0.4844.51.

 

Solutions ou recommandations

Pour la CVE-2022-0809CVE-2022-0808CVE-2022-0805

  • Effectuez une mise à niveau vers la dernière version de Chrome (99.0.4844.51 ou ultérieure), disponible ici.

Liens