Firefox, Chrome et Edge concernés par des bugs critiques

0

Les fabricants des navigateurs Chrome, Firefox et Edge recommandent aux utilisateurs de corriger les vulnérabilités critiques qui, si elles sont exploitées, permettent aux pirates de détourner les systèmes utilisant ces navigateurs.

La vulnérabilité de Mozilla Firefox (CVE-2020-16044) est distincte de la faille signalée dans Chromium, le moteur de navigateur de Google, qui est utilisé dans Google Chrome et la dernière version du navigateur Edge de Microsoft.

Une faille use-after-free critique de Firefox

La Cybersecurity and Infrastructure Security Agency (CISA) a recommandé aux utilisateurs du navigateur Firefox de Mozilla Foundation de corriger une faille, identifiée comme CVE-2020-16044, et jugée critique. La vulnérabilité est classée comme une faille use-after-free et est liée à la façon dont Firefox gère les cookies du navigateur et, si elle est exploitée, permet aux pirates d’accéder à l’ordinateur, au téléphone ou à la tablette exécutant le logiciel de navigation.

Les versions de navigateur Firefox publiées avant la récente version de bureau Firefox 84.0.2, la version 84.1.3 de Firefox sur Android ainsi que la version d’entreprise ESR 78.6.1 de Mozilla Firefox sont concernées.

«Un pair malveillant aurait pu modifier un bloc COOKIE-ECHO dans un paquet SCTP d’une manière qui aurait potentiellement abouti à une faille use-after-free. Nous supposons qu’avec suffisamment d’efforts, il aurait pu être exploité pour exécuter du code arbitraire », selon un bulletin de sécurité de Mozilla.

L’acronyme SCTP signifie Stream Control Transmission Protocol, utilisé dans les réseaux informatiques pour communiquer des données de protocole au sein de la couche de transport de la suite de protocoles Internet, ou TCP / IP. La faille est liée à la manière dont les données des cookies sont gérées par SCTP.

Chaque paquet SCTP entrant contient un morceau de cookie qui facilite une réponse correspondante du cookie du navigateur. Un bloc COOKIE ECHO est un extrait de données envoyé lors de l’initialisation de la connexion SCTP avec le navigateur.

Selon Mozilla, un individu malveillant pourrait créer un bloc COOKIE-ECHO malveillant pour avoir un impact sur la mémoire du navigateur. Une vulnérabilité use-after-free concerne une utilisation incorrecte de la mémoire dynamique pendant le fonctionnement du programme. Si après avoir libéré un emplacement mémoire, un programme n’efface pas le pointeur vers cette mémoire, un attaquant peut utiliser l’erreur pour pirater le programme », selon une description de la vulnérabilité.

Mozilla n’a pas crédité la découverte de la faille, ni indiqué s’il s’agissait d’une vulnérabilité activement exploitée dans la nature.

Une faille de Chromium affecte Chrome et Edge

CISA a également recommandé aux utilisateurs du navigateur Chrome sur Windows, macOS et Linux de corriger une faille d’écriture hors limites (CVE-2020-15995) affectant la version actuelle 87.0.4280.141 du logiciel. La signalisation de la faille par CISA indiquait que la mise à jour de la dernière version du navigateur Chrome «corrige les vulnérabilités qu’un attaquant pourrait exploiter pour prendre le contrôle d’un système affecté».

Le dernier navigateur Edge de Microsoft étant basé sur le moteur de navigateur Chromium de Google, Microsoft a également recommandé à ses utilisateurs de mettre à jour la dernière version 87.0.664.75 de son navigateur Edge.

navigateurs web chrome edge firefox

Alors que les chercheurs de Tenable classent la faille hors limites comme critique, Google et Microsoft ont tous deux classé la vulnérabilité comme étant de haute gravité. Le chercheur de Tencent Security Xuanwu Lab, Bohan Liu, est crédité pour avoir trouvé et signalé la faille de sécurité.

Il est intéressant de noter que la faille CVE-2020-15995 remonte à un bulletin de sécurité de mise à jour Chrome pour Android publié par Google en Octobre 2020. À l’époque, la faille était également classée comme de haute gravité. La faille est identifiée comme une «écriture hors limites dans V8», un bug découvert à l’origine en septembre 2020 par Liu.

La version V8 est le moteur JavaScript et WebAssembly open source et haute performance de Google, selon la description de développeur de Google. Bien que les spécificités techniques de la vulnérabilités ne soient pas disponibles, des écritures hors limites similaires dans des failles de V8 ont permis à des attaquants distants d’exploiter une corruption de tas via une page HTML spécialement conçue.

firefox, chrome, edge

Une corruption de tas est un type de corruption de mémoire qui se produit dans un programme informatique lorsque le contenu d’un emplacement mémoire est modifié en raison d’un comportement de programme – malveillant ou non – qui dépasse l’intention du programmeur d’origine ou des paramètres du langage du programme. Selon un papier académique (PDF) co-écrit par Nektarios Georgios Tsoutsos, membre étudiant de l’IEEE et Michail Maniatakos, membre senior de l’IEEE, une soi-disant attaque écrasante peut être utilisée pour exploiter des instances de corruption de tas.

«Les attaques de destruction de tas exploitent les allocateurs de mémoire dynamiques (par exemple, malloc) en corrompant les structures de contrôle définissant le tas lui-même. En débordant un bloc de tas, les attaquants pourraient écraser les en-têtes de tas adjacents qui enchaînent différents blocs de tas, et éventuellement amener l’allocateur de mémoire dynamique à modifier des emplacements de mémoire arbitraires dès qu’une opération de libération de tas est exécutée. La charge utile malveillante peut également être générée à la volée: par exemple, en exploitant la compilation Just-In-Time (JIT), le code assemblé peut être écrit sur le tas », ont-ils écrit.

Ni Microsoft ni Google n’expliquent pourquoi le CVE-2020-15995 d’octobre 2020 est à nouveau présentée dans leurs deux bulletins de sécurité. En règle générale, cela indique que le correctif d’origine était incomplet.

Plus de failles Chromium affectent Chrome et Edge

Douze failles supplémentaires ont été signalés par Google, affectant son moteur de navigateur Chromium. Google et Microsoft présentaient la même liste de vulnérabilités (CVE-2021-21106, CVE-2021-21107, CVE-2021-21108, CVE-2021-21109, CVE-2021-21110, CVE-2021-21111, CVE-2021 -21112, CVE-2021-21113, CVE-2021-21114, CVE-2021-21115, CVE-2021-21116, CVE-2020-16043).

La majorité des failles ont reçu une note de gravité élevée et sont liés à des failles use-after-free. Trois de ces vulnérabilités ont rapporté 20 000 $ aux chasseurs de bogues pour leurs efforts. Weipeng Jiang de l’équipe Codesafe of Legendsec du groupe Qi’anxin est crédité pour avoir trouvé les 2 bogues de 20 000 $ (CVE-2021-21106 et CVE-2021-21107). Le premier, un bogue use-after-free lié à la fonction de remplissage automatique de Chromium et le second un bogue use-after-free dans le composant multimédia Chromium.

Leecraso et Guang Gong du 360 Alpha Lab ont gagné 20 000 $ pour la faille CVE-2021-21108, également un bogue use-after-free dans le composant multimédia du navigateur.

Aucun détail technique n’a été divulgué et ne le sont généralement que lorsqu’il est déterminé que la plupart des navigateurs Chrome ont été mis à jour.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.