Vulnérabilités dans le navigateur Chrome de Google

Plusieurs vulnérabilités ont été découvertes dans le navigateur Chrome de Google. Certaines étant critiques, Google précise ne pas publier les détails techniques tant que la mise à jour n’a pas été suffisamment déployée. Le bulletin Google est disponible ici.
 

CVE-2021-4053[Score CVSS v3.1: 8.8]
Cette vulnérabilité est de type « exécution de code arbitraire » et concerne l’interface utilisateur du navigateur. L’espace utilisé en mémoire n’est pas réinitialisé après sa libération. Les données toujours présentes pourraient alors être utilisées (use-after-free). L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire ou provoquer un déni de service sur le système.

CVE-2021-4055[Score CVSS v3.1: 8.8]
Cette vulnérabilité est de type « débordement de mémoire tampon » et concerne les extensions du navigateur. Les extensions peuvent écrire à l'extérieur de l'espace alloué au tampon en mémoire et interagir avec le processus du navigateur.    L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire ou provoquer un déni de service sur le système.

CVE-2021-4056[Score CVSS v3.1: 8.8]
Cette vulnérabilité est de type « exécution de code arbitraire » et concerne le processus responsable du chargement des ressources associées au navigateur. Le chargement de ressources incompatibles peut compromettre le processus du navigateur. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire ou provoquer un déni de service sur le système.

CVE-2021-4057[Score CVSS v3.1: 8.8]
Cette vulnérabilité est de type « exécution de code arbitraire » et concerne l’interface de programmation d’application (API). L’espace utilisé en mémoire n’est pas réinitialisé après sa libération. Les données toujours présentes pourraient alors être utilisées. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire ou provoquer un déni de service sur le système.

CVE-2021-4061  CVE-2021-4078[Score CVSS v3.1: 8.8]
Cette vulnérabilité est de type « exécution de code arbitraire » et concerne le moteur JavaScript du navigateur. Il est possible d’injecter des ressources inappropriées afin de compromettre le moteur JavaScript du navigateur. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire ou provoquer un déni de service sur le système.

CVE-2021-4062[Score CVSS v3.1: 8.8]
Cette vulnérabilité est de type « débordement de mémoire tampon » et concerne la fonctionnalité BFCache du navigateur. BFCache permet d’enregistrer en cache et de réafficher une page récemment visitée durant une navigation web. Cette fonctionnalité peut écrire à l'extérieur de l'espace alloué au tampon en mémoire et interagir avec le processus du navigateur. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire ou provoquer un déni de service sur le système.

CVE-2021-4065[Score CVSS v3.1: 8.8]
Cette vulnérabilité est de type « exécution de code arbitraire » et concerne la fonctionnalité Autofill du navigateur. AutoFill permet l’enregistrement des informations renseignées et le remplissage automatique des formulaires en ligne. L’espace utilisé en mémoire n’est pas réinitialisé après sa libération. Les données toujours présentes pourraient alors être utilisées. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire ou provoquer un déni de service sur le système.

CVE-2021-4067[Score CVSS v3.1: 8.8] 
Cette vulnérabilité est de type « exécution de code arbitraire » et concerne la fonctionnalité Windows Manager du navigateur. Windows Manager permet notamment la gestion des onglets ouverts dans le navigateur.      L’espace utilisé en mémoire n’est pas réinitialisé après sa libération. Les données toujours présentes pourraient alors être utilisées. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire ou provoquer un déni de service sur le système.