Vulnérabilités dans le navigateur Chrome de Google

Date de publication :

Ci-dessous, cette première liste de vulnérabilités concerne un problème d'utilisation d’une donnée (ou des données) en mémoire après sa (leur) libération (user after free). Un attaquant peut exploiter ces vulnérabilités, en incitant un utilisateur à visiter un site web malveillant, pour exécuter du code arbitraire avec les mêmes privilèges que le navigateur sur le système cible.

CVE-2022-0465[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne les extensions du navigateur.

CVE-2022-0464CVE-2022-0463[Score CVSS v3.1: 8.8]
Ces deux vulnérabilités concernent Accessibility, un outil pour adapter les pages Web aux personnes souffrant de déficiences visuelles.

CVE-2022-0460[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne les fenêtres de dialogues du navigateur.

CVE-2022-0459[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne la fonctionnalité de capture d’écran Screen Capture.

CVE-2022-0458[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne le gestionnaire d’onglet Thumbnail Tab Strip.

CVE-2022-0456[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne la fonctionnalité Web Search.

CVE-2022-0453[Score CVSS v3.1: 8.8]
Celle-ci concerne Safe Browsing, il s’agit d’une composante qui prévient l’utilisateur sur une éventuelle dangerosité détectée sur un site web.

CVE-2022-0452[Score CVSS v3.1: 8.8]
Cette vulnérabilité concerne le mode Reader qui permet de retirer les publicités et autres distractions.

 

Ci-dessous, cette seconde liste de vulnérabilités concerne un problème de débordement de mémoire tampon (CVE-2022-0470 et CVE-2022-0454) et une erreur de type confusion (CVE-2022-0457). Un attaquant peut exploiter ces vulnérabilités, en incitant un utilisateur à visiter un site web malveillant, pour  exécuter du code arbitraire avec les mêmes privilèges que le navigateur sur le système cible.

CVE-2022-0470[Score CVSS v3.1: 8.8]
Celle-ci concerne V8, le moteur JavaScript intégré dans le navigateur.

CVE-2022-0454[Score CVSS v3.1: 8.8]
Celle-ci concerne le moteur graphique Angle intégré dans le navigateur.

CVE-2022-0457[Score CVSS v3.1: 8.8]
Cette vulnérabilité V8, le moteur JavaScript intégré dans le navigateur.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service

Criticité

  • Score CVSS v3.1: 8.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentés

Un correctif existe

  • Oui, pour l’ensemble des CVE présentés

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentés

Les vulnérabilités exploitées sont du type  

Pour les CVE : CVE-2022-0465   CVE-2022-0464CVE-2022-0463CVE-2022-0459CVE-2022-0458CVE-2022-0456CVE-2022-0453CVE-2022-0452

Pour les CVE : CVE-2022-0470CVE-2022-0454

Pour la CVE-2022-0457

Détails sur l’exploitation

Pour l’ensemble des CVE présentés :

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Aucun
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Pour l’ensemble des CVE présentés :

  • GoogleChrome version 98.

Solutions ou recommandations

Pour l’ensemble des CVE présentés :

  • Mettre à jour le navigateur Chrome de Google à la version 98.0.4758.80/81/82 (Windows) et 98.0.4758.80 (Mac et Linux)
     
  • Le bulletin officiel de Google pour Chrome est disponible ici.

Liens