Exécution de code arbitraire et corruption de données dans Google Chrome

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2021/ALERTE/009

Date de l’alerte: 17/03/2021

APERÇU :

Google a récemment publié une version stable pour Google Chrome, corrigeant cinq (05) vulnérabilités, dont trois (03) avec un indice de gravité élevé. L’une d’entre elles, libellée CVE-2021-21193 et méritant une attention particulière est une vulnérabilité dans le moteur de navigation de Google Chrome (Blink) qui est le principal composant responsable de la conversion du code HTML en pages Web. 

 

DESCRIPTION :

Le moteur Blinkaffecté par la vulnérabilité libellée CVE-2021-21193 et de type Use-After-Free (UAF), a du mal à effacer la mémoire utilisée pendant l’exécution du programme. Cette vulnérabilité est liée à une utilisation inappropriée de la mémoire dynamique pendant le fonctionnement du programme. Ainsi après avoir libéré un emplacement mémoire, si le programme n’efface pas le pointeur vers ce dernier, un attaquant pourrait en profiter pour prendre le contrôle du programme en lui transmettant du code arbitraire afin de naviguer jusqu’au début du code. De cette manière, l’exécution du code malveillant permettrait à l’attaquant de prendre le contrôle du système. En d’autres termes, les vulnérabilités de type UAF permettraient la substitution de code. 

Une exploitation réussie de cette vulnérabilité pourrait conduire à une compromission complète des systèmes vulnérables, à la corruption de donnéesà lindisponibilité du système ainsi qu’à l’exécution de code arbitraire. 

 

IMPACT :

  • Corruption de données 
  • Indisponibilité du système 
  • Exécution de code arbitraire 
  • Compromission du système 

 

SYSTEMES AFFECTÉS :

Google Chrome : Versions antérieures à 89.0.4389.90 

MESURES À PRENDRE :

Il est impératif d’appliquer en urgence les différentes mises à jour de sécurité (tous les utilisateurs doivent mettre à jour Google Chrome vers la version 89.0.4389.90) 

 

REFERENCES :

  • https://www.kaspersky.com/blog/google-chrome-cve-2021-21193/39013/  
  • https://encyclopedia.kaspersky.com/glossary/use-after-free/ 
Partagez sur vos réseaux.