Multiples vulnérabilités dans Chromium / Google Chrome

Plusieurs vulnérabilités ont été corrigées dans les navigateurs internet Chromium et Google Chrome. Certaines d’entre elles peuvent permettre à un attaquant d’exécuter du code arbitraire, de provoquer un déni de service et de divulguer des informations sensibles.

CVE-2019-18197 [Score CVSS v3 : 7.5] : Un pointeur, sous certaines circonstances, peut ne pas être réinitialisé dans xsltCopyText dans libxslt 1.1.33. Si la plage mémoire associée est libérée et réutilisée d’une certaine manière par un attaquant, alors celui-ci pourrait provoquer un dépassement de tas. Il s’agit d’une vulnérabilité de type « use-after-free ».

CVE-2019-19880 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déréférencement de pointeur NULL est présente dans exprListAppendList dans SQLite 3.30.1. Un déréférencement de pointeur NULL peut permettre à un attaquant de provoquer un déni de service et, dans de rares cas, une exécution de code arbitraire.

Informations
+

Risques

  • Exécution de code arbitraire
  • Déni de service
  • Divulgation d’informations sensibles

Criticité

  • Score CVSS v3 : 7.5 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible pour l’instant

Composants vulnérables

  • Google Chrome et Chromium versions antérieures à 80.0.3987.87

CVE

Les CVE listées ici sont celles classées en «High» par Google. Les autres CVE sont disponibles sur cette page.

  • CVE-2020-6381
  • CVE-2020-6382
  • CVE-2019-18197
  • CVE-2019-19926
  • CVE-2020-6385
  • CVE-2019-19880
  • CVE-2020-6387
  • CVE-2020-6388
  • CVE-2020-6389
  • CVE-2020-6390

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Google Chrome / Chromium vers la version 80.0.3987.87 ou supérieure

Solution de contournement

  • Aucune solution de contournement n’est disponible