Vulnérabilités dans Google Chrome
Date de publication :
Plusieurs vulnérabilités présentant un haut niveau de risque ont été corrigées sur le navigateur Google Chrome.
CVE-2021-21112[Score CVSS v3 : 8.8] : Cette vulnérabilité est due à une erreur de type use-after-free dans le composant “Blink” de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
CVE-2021-21115[Score CVSS v3 : 9.6] : Cette vulnérabilité est due à une erreur de type use-after-free dans le composant “safe browsing” de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
CVE-2020-15995[Score CVSS v3 : 8.8] : Cette vulnérabilité est due à une gestion incorrecte des arguments non-sûrs en entrée du moteur Javascript V8 de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
CVE-2021-21114[Score CVSS v3 : 8.8] : Cette vulnérabilité est due à une erreur de type use-after-free dans le composant audio de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
CVE-2021-21113[Score CVSS v3 : 8.8] : Cette vulnérabilité est due à une gestion incorrecte des données HTML non-sûres en entrée de la bibliothèque d’imagerie vectorielle 2D Skia, utilisée par Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
CVE-2021-21111 [Score CVSS v3 : 7.6] : Cette vulnérabilité est due à une mise en place incorrect des politiques de sécurité de l’interface utilisateur de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
CVE-2021-21110[Score CVSS v3 : 9.6] : Cette vulnérabilité est due à une erreur de type use-after-free dans le composant “safe browsing” de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant sera alors en capacité d’injecter du code arbitraire dans le système de la victime.
CVE-2021-21109[Score CVSS v3 : 9.6] : Cette vulnérabilité est due à une erreur de type use-after-free dans le composant de paiement de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant sera alors en capacité d’injecter du code arbitraire dans le système de la victime.
CVE-2021-21108[Score CVSS v3 : 9.6] : Cette vulnérabilité est due à une erreur de type use-after-free dans le composant media de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
CVE-2021-21107[Score CVSS v3 : 9.6] : Cette vulnérabilité est due à une erreur de type use-after-free dans le composant “drag and drop” de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
CVE-2021-21106[Score CVSS v3 : 9.6] : Cette vulnérabilité est due à une erreur de type use-after-free dans le composant de remplissage automatique de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
CVE-2020-16043[Score CVSS v3 : 8.8] : Cette vulnérabilité est due à une validation incorrecte des arguments passés en entrée dans certains composants réseau de Google Chrome. Cette faille peut permettre à un attaquant distant et non-authentifié de créer une page web spécifique afin de leurrer un utilisateur légitime sur celle-ci. L’attaquant peut alors potentiellement injecter du code arbitraire dans le système de la victime.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 7.6 ; 8.8 ; 9.6
Existence d’un code d’exploitation
- Il n’existe pas de code d’exploitation proposé publiquement à l’heure actuelle.
Composants vulnérables
- Les versions de Google Chrome de 87.0.4280.0 à 87.0.4280.140 sont impactées par ces vulnérabilités.
CVE
- CVE-2021-21112
- CVE-2021-21115
- CVE-2020-15995
- CVE-2021-21114
- CVE-2021-21113
- CVE-2021-21111
- CVE-2021-21110
- CVE-2021-21109
- CVE-2021-21108
- CVE-2021-21107
- CVE-2021-21106
- CVE-2020-16043
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Google Chrome vers la version 87.0.4280.141.
Solution de contournement
Aucune solution de contournement n’est proposée publiquement à ce jour.