Des vulnérabilités critiques corrigées sur Google Chrome et Firefox

Le 29 janvier, les équipes de développement de Google Chrome et de Firefox ont publié en parallèle des mises à jour de sécurité pour ces deux navigateurs dans leurs versions bureau et mobile. Aucune des vulnérabilités n'est partagée entre les deux logiciels. On compte 3 vulnérabilités critiques corrigées sur Firefox sur un total de 7 et une sur Chrome sur un total de 58. Les deux projets ne partagent toutefois pas la même procédure d’évaluation de la criticité.

De manière générale, l'exploitation des vulnérabilités sur les navigateurs nécessite l'interaction avec l'utilisateur, en lui faisant visiter une page présentant du contenu malveillant. Les failles critiques identifiées sur Firefox sont de deux types : dans un cas elles permettraient l’exécution de code arbitraire à distance due à une corruption de mémoire, dans l'autre elles permettraient de réaliser un déni de service.

Concernant Google Chrome, en plus de la vulnérabilité critique, on note 17 failles importantes ainsi qu'une mise à jour sur le support du protocole TLS. Les versions 1.0 et 1.1 sont ainsi dépréciées du fait de leur niveau de sécurité. Le protocole TLS est assure la couche de chiffrement lors de l'utilisation d'HTTPS. Ce changement affecte principalement les développeurs, les utilisateurs qui ne pourront plus utiliser les sites utilisant ces versions de TLS à partir de l'année prochaine. Parmi les failles révélées par des audits internes sur Chrome, on trouve par ailleurs des erreurs dues à la gestion de la mémoire.

Google Chrome et Firefox partagent la même procédure de publication de vulnérabilité. Aucun détail technique n'est révélé, que ce soit pour les bulletins ou les différentes plateformes de suivi de bug disponible en accès restreint. Du fait de la criticité de ces vulnérabilités, il est recommandé de mettre à jour le navigateur le plus rapidement possible.

Informations
+

Risques

  • Exécution de code arbitraire ;
  • Déni de service.

Criticité

  • Score CVSS : 8.8 (score fourni par Redhat)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été diffusé pour les vulnérabilités listées

Composants & versions vulnérables

  • Firefox 65 et versions antérieures
  • Chrome 72.0.3626.81 et antérieures

CVE

  • CVE-2019-5754
  • CVE 2018-18500
  • CVE 2018-18501
  • CVE 2018-18505
  • Le reste des vulnérabilités est publiée dans leurs bulletins respectifs.

Recommandations
+

Mise en place de correctif de sécurité

  • La mise à jour des navigateurs permet la correction de l'ensemble des vulnérabilités listées.

Solution de contournement

  • Aucune solution de contournement n'a été diffusée.