Vulnérabilités dans le navigateur Chrome de Google
Date de publication :
Animation est une extension qui permet la génération de code css pour une page web.
Le processus GPU (Graphic Processing Unit) est utilisé par le navigateur pour accélérer le rendu de pages web dotées d’éléments graphiques.
CVE-2022-0609[Score CVSS v3.1: 8.8]
Une gestion incorrecte des données dans l’extension Animation peut permettre à un attaquant d’inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.
CVE-2022-0607[Score CVSS v3.1: 8.8]
Une gestion incorrecte des données dans le processus GPU peut permettre à un attaquant d'inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.
CVE-2022-0606[Score CVSS v3.1: 8.8]
Une gestion incorrecte des données dans le moteur graphique Angle peut permettre à un attaquant d'inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.
CVE-2022-0604[Score CVSS v3.1: 8.8]
Un débordement de mémoire tampon dû à un manque de contrôle des limites dans le gestionnaire des onglets peut permettre à un attaquant d’inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.
CVE-2022-0603[Score CVSS v3.1: 8.8]
Une gestion incorrecte des données dans le gestionnaire des fichiers peut permettre à un attaquant d’inciter un utilisateur à visiter un site et de générer un déni de service ou d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3.1: 8.8 max
La faille est activement exploitée
- Oui, uniquement pour la CVE-2022-0609
Un correctif existe
- Oui, pour l’ensemble des CVE présentés
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-0609
Pour la CVE-2022-0607
Pour la CVE-2022-0606
Pour la CVE-2022-0604
Pour la CVE-2022-0603
Détails sur l’exploitation
Pour l’ensemble des CVE présentés :
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
- Google Chrome 98.
Solutions ou recommandations
- Appliquer la mise à jour du navigateur Chrome vers la version 98.0.4758.102, ou toutes autres versions ultérieures.
- Des informations supplémentaires sont disponibles dans le bulletin Chrome ici.