Vulnérabilités dans le navigateur Chrome de Google
Date de publication :
Ci-dessous, cette première liste de vulnérabilités concerne un problème de débordement de mémoire tampon dans le navigateur Chrome de Google. Le contrôle de la taille des données traitées est réalisé de manière incorrecte par certaines composantes. Un attaquant peut exploiter ces vulnérabilités, en incitant un utilisateur à visiter un site web malveillant, pour exécuter du code arbitraire sur le système ou générer un déni de service.
CVE-2022-0311CVE-2022-0310[Score CVSS v3.1: 8.8]
Ces deux vulnérabilités concernent le gestionnaire de tâche Task Manager.
CVE-2022-0306[Score CVSS v3.1: 8.8]
Celle-ci concerne la composante PDFium qui traite les fichiers PDF.
CVE-2022-0301[Score CVSS v3.1: 8.8]
Celle-ci concerne l’outil de développement DevTools
Ci-dessous, cette seconde liste de vulnérabilités concerne un problème de gestion de la mémoire dynamique (user after free). Un attaquant peut exploiter ces vulnérabilités, en incitant un utilisateur à visiter un site web malveillant, pour exécuter du code arbitraire sur le système ou générer un déni de service.
CVE-2022-0307[Score CVSS v3.1: 8.8]
Il s’agit de la composante Optimization Guide qui est en relation avec le service distant Chrome Optimization Guide Service.
CVE-2022-0308[Score CVSS v3.1: 8.8]
Celle-ci concerne l’objet Data Transfer.
CVE-2022-0304[Score CVSS v3.1: 8.8]
Celle-ci concerne Bookmarks, il s’agit du gestionnaire des pages web favorites et souvent fréquentées.
CVE-2022-0302CVE-2022-0295[Score CVSS v3.1: 8.8]
Ces deux vulnérabilités concernent l’API Omnibox, le gestionnaire des mots-clés.
CVE-2022-0300[Score CVSS v3.1: 8.8]
Celle-ci concerne Text Input Method Editor, un gestionnaire des touches.
CVE-2022-0298[Score CVSS v3.1: 8.8]
Celle-ci concerne l’extension Scheduling, une aide pour l’organisation du travail.
CVE-2022-0297[Score CVSS v3.1: 8.8]
Celle-ci concerne l’API Vulkan, une composante pour les améliorations graphiques.
CVE-2022-0296[Score CVSS v3.1: 8.8]
Celle-ci concerne la composante d’impression Printing.
CVE-2022-0293[Score CVSS v3.1: 8.8]
Celle-ci concerne Web Packaging, un outil pour faciliter la transmission de plusieurs ressources.
CVE-2022-0290[Score CVSS v3.1: 8.8]
Celle-ci concerne le dispositif de sécurité supplémentaire Site Isolation.
CVE-2022-0289[Score CVSS v3.1: 8.8]
Celle-ci concerne Safe Browsing, il s’agit d’une composante qui prévient l’utilisateur sur une éventuelle dangerosité détectée sur un site web.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de Service
Criticité
- Score CVSS v3.1: 8.8 max
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentés
Un correctif existe
- Oui, pour l’ensemble des CVE présentés
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
- CWE-416: Use After Free
- CWE-122: Heap-based Buffer Overflow
Détails sur l’exploitation
Pour l’ensemble des CVE présentés :
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
- Chrome 97.
Solutions ou recommandations
Effectuer la dernière mise à jour du navigateur Chrome vers la version 97.0.4692.99, ou toutes autres versions plus récentes.
Le bulletin officiel de Google Chrome contenant des informations détaillées sur les vulnérabilités est disponible ici
Liens
- Mitre CVE-2022-0311
- Mitre CVE-2022-0310
- Mitre CVE-2022-0306
- Mitre CVE-2022-0301
- Mitre CVE-2022-0307
- Mitre CVE-2022-0308
- Mitre CVE-2022-0304
- Mitre CVE-2022-0302
- Mitre CVE-2022-0300
- Mitre CVE-2022-0298
- Mitre CVE-2022-0297
- Mitre CVE-2022-0296
- Mitre CVE-2022-0295
- Mitre CVE-2022-0293
- Mitre CVE-2022-0290
- Mitre CVE-2022-0289