Vulnérabilités dans Google Chrome et Microsoft Edge
Date de publication :
Google a publié son bulletin de correctifs bimensuel pour son navigateur Chrome. Huit vulnérabilités présentant un haut niveau de criticité ont été corrigées. Microsoft a confirmé quelques jours plus tard que ces vulnérabilités affectent également son navigateur Edge.
CVE-2021-30521 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre un débordement de tas mémoire a été corrigée dans le composant Autofill de Google Chrome.
CVE-2021-30522 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre un use-after-free a été corrigée dans le composant WebAudio de Google Chrome.
CVE-2021-30523 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre un use-after-free a été corrigée dans le composant WebRTC de Google Chrome.
CVE-2021-30524 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre un use-after-free a été corrigée dans le composant TabStrip de Google Chrome.
CVE-2021-30525 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre un use-after-free a été corrigée dans le composant TabGroups de Google Chrome.
CVE-2021-30526 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre une écriture mémoire hors limite a été corrigée dans le composant TabStrip de Google Chrome.
CVE-2021-30527 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre une écriture mémoire hors limite dans l’interface utilisateur de Google Chrome (WebUI) a été corrigée.
CVE-2021-30528 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre un use-after-free a été corrigée dans le composant d'authentification web de Google Chrome.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
- Elévation de privilèges
- Exposition d’informations sensibles
Criticité
- Scores CVSS v3 : 8.8
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions de Google Chrome antérieures à 91.0.4472.77 sont impactées par ces vulnérabilités.
- Les versions de Microsoft Edge antérieures à 91.0.864.37 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Google Chrome vers la version 91.0.4472.77.
- Mettre à jour Microsoft Edge vers la version 91.0.864.37.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.
Liens
- Google Chrome Release - Stable Channel Update for Desktop
- Microsoft - Chromium: CVE-2021-30521 Heap buffer overflow in Autofill
- Microsoft - Chromium: CVE-2021-30522 Use after free in WebAudio
- Microsoft - Chromium: CVE-2021-30523 Use after free in WebRTC
- Microsoft - Chromium: CVE-2021-30524 Use after free in TabStrip
- Microsoft - Chromium: CVE-2021-30525 Use after free in TabGroups
- Microsoft - Chromium: CVE-2021-30526 Out of bounds write in TabStrip
- Microsoft - Chromium: CVE-2021-30527 Use after free in WebUI
- Microsoft - Chromium: CVE-2021-30528 Use after free in WebAuthentication