Des vulnérabilités critiques corrigées sur Google Chrome et Firefox

Le 29 janvier, les équipes de développement de Google Chrome et de Firefox ont publié en parallèle des mises à jour de sécurité pour ces deux navigateurs dans leurs versions bureau et mobile. Aucune des vulnérabilités n'est partagée entre les deux logiciels. On compte 3 vulnérabilités critiques corrigées sur Firefox sur un total de 7 et une sur Chrome sur un total de 58. Les deux projets ne partagent toutefois pas la même procédure d’évaluation de la criticité.

De manière générale, l'exploitation des vulnérabilités sur les navigateurs nécessite l'interaction avec l'utilisateur, en lui faisant visiter une page présentant du contenu malveillant. Les failles critiques identifiées sur Firefox sont de deux types : dans un cas elles permettraient l’exécution de code arbitraire à distance due à une corruption de mémoire, dans l'autre elles permettraient de réaliser un déni de service.

Concernant Google Chrome, en plus de la vulnérabilité critique, on note 17 failles importantes ainsi qu'une mise à jour sur le support du protocole TLS. Les versions 1.0 et 1.1 sont ainsi dépréciées du fait de leur niveau de sécurité. Le protocole TLS est assure la couche de chiffrement lors de l'utilisation d'HTTPS. Ce changement affecte principalement les développeurs, les utilisateurs qui ne pourront plus utiliser les sites utilisant ces versions de TLS à partir de l'année prochaine. Parmi les failles révélées par des audits internes sur Chrome, on trouve par ailleurs des erreurs dues à la gestion de la mémoire.

Détails techniques :

Les vulnérabilités critiques sont référencées comme suit : 

Google Chrome 
CVE-2019-5754 [CVSS v3 6.5] : Une erreur d'implémentation dans QUIC Networking dans Google Chrome avant 72.0.3626.81 a permis à un attaquant exécutant ou capable de provoquer l'utilisation d'un serveur proxy pour obtenir du texte clair depuis un canal de transport chiffré via un proxy réseau malveillant 

Mozilla Firefox
CVE 2018-18500 [CVSS v3 9.8] : Une vulnérabilité d'utilisation peut survenir lors de l'analyse d'un flux HTML5 des éléments HTML personnalisés. L'objet analyseur de flux est ainsi libéré alors qu'il est encore en cours d'utilisation, ce qui entraîne un crash potentiellement exploitable. Cette vulnérabilité affecte Thunderbird < 60.5, Firefox ESR < 60.5 et Firefox < 65.

CVE 2018-18501 [CVSS v3 9.8] : Les développeurs de Mozilla et les membres de la communauté ont signalé des bogues de sécurité mémoire présents dans Firefox 64 et Firefox ESR 60.4. Certains de ces bogues montraient des preuves de corruption de mémoire et certains d'entre eux pourraient être exploités pour exécuter du code arbitraire. Cette vulnérabilité affecte Thunderbird < 60.5, Firefox ESR < 60.5 et Firefox < 65.

CVE 2018-18505 [CVSS v3 10.0] : Une correction antérieure pour une vulnérabilité de communication interprocessus (IPC), CVE-2011-3079, a ajouté l'authentification à la communication entre les terminaux IPC et les  serveurs lors de la création de processus IPC. Cette authentification est insuffisante pour les canaux créés après le démarrage du processus IPC, ce qui entraîne une mauvaise application de l'authentification. Cette vulnérabilité affecte Thunderbird < 60.5, Firefox ESR < 60.5 et Firefox < 65.

Google Chrome et Firefox partagent la même procédure de publication de vulnérabilité. Aucun détail technique n'est révélé, que ce soit pour les bulletins ou les différentes plateformes de suivi de bug disponible en accès restreint. Du fait de la criticité de ces vulnérabilités, il est recommandé de mettre à jour le navigateur le plus rapidement possible.

Informations
+

Risques

  • Exécution de code arbitraire ;
  • Déni de service.

Criticité

  • Score CVSS : 8.8 (score fourni par Redhat)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été diffusé pour les vulnérabilités listées

Composants & versions vulnérables

  • Firefox 65 et versions antérieures
  • Chrome 72.0.3626.81 et antérieures

CVE

  • CVE-2019-5754
  • CVE 2018-18500
  • CVE 2018-18501
  • CVE 2018-18505
  • Le reste des vulnérabilités est publiée dans leurs bulletins respectifs.

Recommandations
+

Mise en place de correctif de sécurité

  • La mise à jour des navigateurs permet la correction de l'ensemble des vulnérabilités listées.

Solution de contournement

  • Aucune solution de contournement n'a été diffusée.