Deux vulnérabilités critiques corrigées pour le navigateur Chrome

Google vient de publier une nouvelle mise à jour pour son navigateur Chrome pour les plateformes Linux, Mac et Windows. Cette nouvelle version (Google Chrome 78.0.3904.87) adresse 2 vulnérabilités possiblement critiques, leur score CVSSv3 étant toujours en cours de calcul. Google alerte néanmoins ces milliards d’utilisateurs : l’une des deux vulnérabilités est exploitée par des attaquants ; la mise à jour doit donc être appliquée dans les plus brefs délais. Ces deux vulnérabilités pourraient permettre à un attaquant à distance d’exécuter arbitrairement du code sur le système de sa cible, pouvant ainsi mener par exemple à la prise de contrôle de celui-ci.

L’une de ces deux vulnérabilités a été découverte par deux chercheurs de chez Kaspersky, une société privée de sécurité informatique proposant des solutions antivirus, Anton Ivanov et Alexey Kulaev qui l’ont baptisée « Operation WizardOpium ». En effet, celle-ci serait exploitée par des attaquants ; elle était ainsi considérée comme une vulnérabilité « jour zéro » jusqu’au correctif de Google.

Détails techniques :

  • CVE-2019-13720 [CVSSv3 non défini] : utilisation de la mémoire après libération de celle-ci (« User-After-Free »). Ce type de vulnérabilité survient lorsque la mémoire n’est pas libérée correctement, ce qui peut entraîner des erreurs pouvant provoquer le plantage du système, ou encore l’exécution arbitraire de code. Dans le cas présent, les chercheurs de Kaspersky affirment que des attaquants utilisent activement cette vulnérabilité pour effectuer de l’exécution arbitraire de code à distance, et ainsi compromettre l’ordinateur d’utilisateurs Chrome. Cette vulnérabilité réside dans un module audio. Peu de détails ont été publiés étant donné que de nombreux utilisateurs de Chrome n’ont pas encore fait la mise à jour. L’exploitation de celle-ci est cependant avérée ; les chercheurs de Kaspersky ont découvert son exploitation sur un site d’actualité coréen. Un fichier JavaScript injecté sur la page principale du site compromettait l’ordinateur des visiteurs en chargeant plusieurs fichiers malveillants pour exploiter la vulnérabilité.
  • CVE-2019-13721 [CVSSv3 non défini] : utilisation de la mémoire après libération de celle-ci (« User-After-Free ») pouvant entraîner l’exécution arbitraire de code par un attaquant à distance. Cette vulnérabilité est présente dans le module PDFium de Chrome. Ce module permet de manipuler des PDF (lecture, recherche, impression, etc.).
Informations
+

Risques

  • Exécution arbitraire de code à distance
  • Déni de service

Criticité

  • Score CVSS : En cours de calcul (haut)

Existence d’un code d’exploitation de la vulnérabilité

  • La vulnérabilité CVE-2019-13720 est exploitée par des attaquants. Les équipes de Kaspersky ont également créé une preuve de concept pour les équipes de Google.
  • Il n’existe pas de code d’exploitation pour la seconde vulnérabilité (CVE-2019-13721) connu à ce jour.

Composants & versions vulnérables

  • Versions de Chrome antérieures à 78.0.3904.87

CVE

  • CVE-2019-13720
  • CVE-2019-13721

 


Recommandations
+

Mise en place de correctif de sécurité

  • Un correctif de sécurité a été mis en place par les équipes de Google, il est fortement recommandé d’appliquer celui-ci en mettant à jour Chrome à une version supérieure ou égale à 78.0.3904.87

Solution de contournement

  • Aucune solution de contournement n’existe.