Vulnérabilités dans Google Chrome et Microsoft Edge

Date de publication :

Google a publié un avis de sécurité sur quatre vulnérabilités ayant un haut niveau de criticité et impactant son navigateur en source libre Chromium ainsi que son navigateur Google Chrome basé sur celui-ci.

Microsoft a également partagé un correctif de sécurité pour son navigateur Microsoft Edge, également basé sur Chromium. L'exploitation de ces vulnérabilités peut se faire à distance et ne nécessite pas d'authentification préalable.

CVE-2021-30554 [Score CVSS v3 : 8.8]
Une vulnérabilité de type use-after-free a été corrigée au sein du composant WebGL de Google Chrome.

CVE-2021-30555 [Score CVSS v3 : 8.8]
Une vulnérabilité de type use-after-free a été corrigée au sein du composant Sharing de Google Chrome.

CVE-2021-30556 [Score CVSS v3 : 8.8]
Une vulnérabilité de type use-after-free a été corrigée au sein du composant WebAudio de Google Chrome.

CVE-2021-30557 [Score CVSS v3 : 8.8]
Une vulnérabilité de type use-after-free a été corrigée au sein du composant TabGroups de Google Chrome.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Injection de code arbitraire
  • Exposition de données sensibles

Criticité

  • Scores CVSS v3 : 8.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • Les versions de Google Chrome antérieures à la version 91.0.4472.114 sont impactées par ces vulnérabilités.
  • Les versions de Microsoft Edge antérieures à la version 91.0.864.54 sont impactées par ces vulnérabilités.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Google Chrome vers la version 91.0.4472.114.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens