Multiples vulnérabilités critiques dans Google Chrome

Date de publication :

CVE-2022-2007[Score CVSS v3.1: 8.8]
Une vulnérabilité existe en raison d'un défaut de libération de la mémoire par l’API WebGPU de Google Chrome. Ainsi, un attaquant distant peut inciter la victime à visiter une page Web spécialement conçue et déclencher une erreur d'utilisation après libération afin d’exécuter du code arbitraire sur le système cible.

CVE-2022-2008[Score CVSS v3.1: 8.8]
Une vulnérabilité existe en raison d'une restriction incorrecte des opérations dans la mémoire tampon concernant WebGL (Web Graphics Library), une libraire de rendu graphique 2D/3D de Google Chrome. Ainsi, un attaquant distant peut inciter la victime à visiter une page Web spécialement conçue et déclencher un dépassement de mémoire tampon basé sur la pile afin d’exécuter du code arbitraire sur le système.

CVE-2022-2011[Score CVSS v3.1: 8.8]
Une vulnérabilité existe en raison d'un défaut de libération de la mémoire par le moteur graphique ANGLE de Google Chrome. Ainsi, un attaquant distant peut inciter la victime à visiter une page Web spécialement conçue et déclencher une erreur d'utilisation après libération afin d’exécuter du code arbitraire sur le système cible.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3.1: 8.8

La faille est activement exploitée

  • Non pour toutes

Un correctif existe

  • Oui pour toutes

Une mesure de contournement existe

  • Oui pour toutes

La vulnérabilité exploitée est du type

Pour la CVE-2022-2007 et la CVE-2022-2011

CWE-416 - Use After Free

Pour la CVE-2022-2008

CWE-119 - Improper Restriction of Operations within the Bounds of a Memory Buffer

Détails sur l’exploitation

Pour toutes les CVE

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Les produits suivants sont affectés par ces vulnérabilités :

  • Google Chrome 102.0

Solutions ou recommandations

  • Mettre à jour à la dernière version de Chrome 102.0.5005.115.

Liens