Vulnérabilités dans Microsoft Edge et Google Chrome

Plusieurs vulnérabilités ont été découvertes dans le navigateur Chrome de l’entreprise Google, cela concerne aussi le produit Microsoft Edge (Chromium-based). Ce bulletin ne présente que les vulnérabilités dont le score CVSS v3.1 est pour le moment supérieur à 7, ce score risque de changer selon les mises à jour des rapports. Le guide au sujet des vulnérabilités de Microsoft est disponible ici, le guide qui détaille les vulnérabilités de GoogleChrome est ici.

CVE-2021-38021CVE-2021-38018CVE-2021-38015[Score CVSS v3.1: 7.1 / 7.1 / 7.1]
Ces trois vulnérabilités sont du type « accès non-autorisé », et concernent le navigateur Chrome de Google. Les détails techniques ne sont pas publiquement disponibles pour le moment. Un attaquant distant et non-authentifié pourrait exploiter ces vulnérabilités, en incitant un utilisateur à visiter un site Web malveillant, afin d’obtenir un accès aux données sensibles stockées sur le système. Ces vulnérabilités ne semblent pas être exploitées pour le moment.
 

CVE-2021-38007[Score CVSS v3.1: 7.7]
Les chercheurs du laboratoire Singular Security Lab ont découvert une vulnérabilité du type « exécution de code arbitraire », celle-ci concerne précisément le composant V8 de Google Chrome.  Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en incitant un utilisateur à visiter une page Web malveillante, afin d’exécuter du code arbitraire sur le système. Un accomplissement de cet exploit peut résulter en une compromission totale du poste de travail. Cette vulnérabilité ne semble pas être exploitée pour le moment.
 

CVE-2021-38011CVE-2021-38006[Score CVSS v3.1: 7.7 / 7.7]
L’expert Sergei Glazunov, du groupe Google Project Zero, a étudié deux vulnérabilités du type « exécution de code arbitraire », elles concernent le produit Chrome de Google. Sergei Glazunov a constaté que la mémoire dynamique n’est pas gérée de manière correcte par le navigateur lorsque ce dernier utilise sonAPIde stockage de données (Chrome’s Storage Fondation API). Un attaquant distant et non-authentifié pourrait exploiter ces vulnérabilités, en incitant un utilisateur à visiter un site Web malveillant, pour exécuter du code arbitraire sur le système ou pour imposer un déni de service. Ces vulnérabilités ne semblent pas être exploitées pour le moment.
 

CVE-2021-38008[Score CVSS v3.1: 7.7]
L’informaticien Marcin Towalski du groupe Cisco Talos, a identifié une vulnérabilité du type « déni de service (DoS) », elle concerne le produit Chrome de Google. La mémoire dynamique est contrôlée de manière incorrecte lorsqu’une composante médiatique du navigateur est exécutée. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en incitant un utilisateur à visiter un site Web malveillant, pour exécuter du code arbitraire sur le système ou pour imposer un déni de service. Cette vulnérabilité ne semble pas être exploitée pour le moment.
 

CVE-2021-38005[Score CVSS v3.1: 7.7]
L’expert Sergei Glazunov, du groupe Google Project Zero, a aussi découvert cette vulnérabilité, celle-ci est du type « déni de service (DoS) » et concerne le produit Chrome de Google. La mémoire dynamique est contrôlée de manière incorrecte lorsqu’une composante du chargement du navigateur est exécutée. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en incitant un utilisateur à visiter un site Web malveillant, pour exécuter du code arbitraire sur le système ou pour imposer un déni de service. Cette vulnérabilité ne semble pas être exploitée pour le moment.