Vulnérabilités sur Google Chrome
Date de publication :
Plusieurs vulnérabilités ont été publiées concernant le navigateur web Google Chrome. Elles peuvent permettre à un attaquant distant de provoquer un déni de service et une exécution de code arbitraire.
CVE-2020-6418 [Score CVSS v3 : 8.4] : Une vulnérabilité de type « confusion de type » a été identifiée dans le composant V8 (moteur JavaScript) de Google Chrome. Un attaquant distant pourrait, en amenant un utilisateur à visiter une page web malveillante, exécuter du code arbitraire sur un système vulnérable.
D’après Google, cette vulnérabilité est activement exploitée.
CVE-2020-6407 [Score CVSS v3 : 7.7] : Une vulnérabilité de type écriture hors-limites « out-of-bounds write » a été identifiée lors du traitement d’entrées non conformes dans les flux. Un attaquant distant pourrait, en amenant un utilisateur à visiter une page web malveillante, exécuter du code arbitraire sur un système vulnérable.
Pas de CVE attribuée [Score CVSS v3 : 7.7] : Une vulnérabilité de type dépassement d’entier a été identifiée dans le composant ICU de Google Chrome. Un attaquant distant pourrait, en amenant un utilisateur à visiter une page web malveillante, exécuter du code arbitraire sur un système vulnérable.
Une exploitation réussie de cette vulnérabilité pourrait provoquer une compromission totale du système vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3 : 8.4 au maximum
Existence d’un code d’exploitation
- Un code d’exploitation non public serait disponible pour la CVE-2020-6418 d’après Google.
Composants vulnérables
- Google Chrome versions antérieures à la 80.0.3987.122
CVE
- CVE-2020-6418
- CVE-2020-6407
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Google Chrome vers la version 80.0.3987.122.
Solution de contournement
- Aucune solution de contournement n’est disponible