Vulnérabilités dans le moteur de rendu HTML WebKit2GTK
Date de publication :
De multiples vulnérabilités ont été découvertes dans WebKit2GTK, le moteur de rendu HTML pour l’environnement graphique GTK.
CVE-2020-9948, CVE-2020-9951, CVE-2020-9983, CVE-2020-13584[Score CVSS v3 : 8.8] : Plusieurs vulnérabilités de type corruption de mémoire ont été corrigées. Elles peuvent permettre à un attaquant distant et non-authentifié d'exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Il n’existe pas de code d'exploitation connu publiquement à ce jour.
Composants vulnérables
Les versions vulnérables de WebKit2GTK sont :
- Debian Stretch : jusqu’à v2.18.6-1~deb9u1 compris
- Debian Buster : jusqu’à v2.28.4-1~deb10u1 compris
- Debian Buster (security) : inférieur 2.30.3-1~deb10u1
- Debian Bullseye & Debian Sid : inférieur à 2.30.3-1
*Les versions du navigateur Safari antérieurs à la version 14.0 utilisait une version vulnérable de WebKit2GTK.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mise à jour vers WebKit2GTK v2.30.3-1 (non disponible sur Debian Stretch et Debian Jessie)
Solution de contournement
Il n’existe pas de solutions de contournement à l’heure actuelle.