Des failles de Google Chrome ouvrent la porte aux attaques

Google a corrigé plusieurs graves failles d’exécution de code dans son navigateur Chrome. Pour exploiter la faille, un pirate aurait simplement besoin de convaincre une cible de visiter une page Web spécialement conçue via l’hameçonnage ou d’autres leurres d’ingénierie sociale.

La version 85.0.4183.121 de Google Chrome sur Windows, Mac et Linux a corrigé 10 vulnérabilités. L’exploitation réussie des plus graves d’entre elles pourrait permettre à un attaquant d’exécuter du code arbitraire dans le contexte du navigateur, selon Google. Les versions de Google Chrome antérieures à 85.0.4183.121 sont concernées par ces failles de sécurité.

“En fonction des privilèges associés à l’application, un attaquant pourrait afficher, modifier ou supprimer des données”, selon l’avis de sécurité de Google. «Si cette application a été configurée pour avoir moins de droits d’utilisateur sur le système, l’exploitation de la plus grave de ces vulnérabilités pourrait avoir moins d’impact que si elle était configurée avec des droits administratifs.»

Google a révélé cinq failles de haute gravité dans son avis, bien que les détails techniques restent rares car ces informations sont généralement «gardées confidentielles jusqu’à ce qu’une majorité d’utilisateurs soient à jour avec un correctif», selon son avis.

Cependant, Google a déclaré que “ces vulnérabilités peuvent être exploitées si un utilisateur visite ou est redirigé vers une page Web spécialement conçue.”

google chrome

Les failles de haute gravité incluent une erreur de lecture hors limites dans le stockage dans Google Chrome (CVE-2020-15960). Cette faille de dépassement de la mémoire tampon pourrait permettre à un attaquant distant d’avoir un accès mémoire hors limites via une page HTML spécialement conçue.

Trois failles liées à une application insuffisante des politiques de sécurité ont également été corrigées. Il s’agit notamment de deux failles provenant d’extensions dans Chrome (CVE-2020-15961, CVE-2020-15963), qui pourraient permettre à un attaquant qui a convaincu un utilisateur d’installer une extension malveillante de potentiellement effectuer une évasion sandbox via une extension Chrome spécialement conçue.

Le troisième problème de validation de stratégie (CVE-2020-15962) se trouve dans la fonction de série de Chrome et pourrait permettre à un attaquant distant d’avoir potentiellement un accès hors-limites à la mémoire via une page HTML spécialement conçue.

google chrome

Enfin, Google a corrigé une faille d’écriture hors limites (CVE-2020-15965) dans V8, un moteur JavaScript open source développé par The Chromium Project pour les navigateurs Chrome et Chromium. La faille pourrait permettre à un attaquant distant d’effectuer potentiellement un accès hors-limites à la mémoire via une page HTML spécialement conçue.

Google a déclaré qu’il n’y avait actuellement aucune indication sur l’exploitation de ces vulnérabilités dans la nature. Ils recommandent aux utilisateurs de Chrome d’appliquer immédiatement la mise à jour aux systèmes vulnérables et a rappelé aux utilisateurs «de ne pas visiter des sites Web non fiables ni de suivre les liens fournis par des sources inconnues ou non fiables».

Google a corrigé des failles le mois dernier

Le mois dernier, Google a corrigé diverses vulnérabilités graves dans ses navigateurs Web, y compris une faille dans les navigateurs qui utilisent Chromium qui pourrait permettre aux attaquants de contourner la politique de sécurité du contenu (CSP) sur les sites Web, afin de dérober des données et d’exécuter du code malveillant. En Août, Google a également corrigé une vulnérabilité Chrome de haute gravité qui pourrait être utilisée pour exécuter du code arbitraire.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x