Origine : bjCSIRT
Numéro : 2025/ALERTE/034
Date de l’alerte : 18/04/2025
APERÇU :
De multiples vulnérabilités ont été découvertes dans Google Chrome et permettraient à un acteur malveillant d’exécuter du code arbitraire à distance, de voler des données sensibles, ou de prendre le contrôle total du système de la victime.
DESCRIPTION :
Chrome est un navigateur web propriétaire développé par Google, basé sur le projet libre Chromium fonctionnant sous Windows, Mac, Linux, Android et iOS.
Certaines versions de ce navigateur, sont affectées par plusieurs vulnérabilités libellées comme suit :
CVE-2025-3619 : Cette vulnérabilité de type “heap buffer overflow” affecte le composant multimédia de Chrome, responsable du décodage des contenus audio et vidéo. Son exploitation permettrait à un acteur malveillant d’inciter un utilisateur à visiter une page web malveillante intégrant un contenu multimédia spécialement conçu, provoquant un dépassement de tampon lors de son traitement et permettant ainsi l’exécution de commandes arbitraires sur le système cible.
Cette vulnérabilité est classée élevée avec un score de sévérité de 8.8 selon le CVSS v3.1.
CVE-2025-3620 : Cette vulnérabilité de type “use-after-free » résulte d’une mauvaise gestion de la mémoire dans les interactions avec le composant USB de Chrome. En exploitant une libération prématurée de la mémoire, un acteur malveillant pourrait forcer le navigateur à accéder à une zone mémoire déjà libérée, entraînant un comportement anormal pouvant mener à l’exécution de code arbitraire.
Cette vulnérabilité est classée élevée avec un score de sévérité de 8.8 selon le CVSS v3.1.
IMPACT :
- Exécution de code arbitraire;
- Atteinte à la confidentialité des données;
- Atteinte à l’intégrité ;
- Atteinte à la disponibilité.
SYSTÈMES AFFECTÉS :
Versions de Google Chrome antérieures à :
- 135.0.7049.95/.96 sur Windows et MacOs ;
- 135.0.7049.95 sur Linux.
MESURES À PRENDRE :
- Mettre à jour Google Chrome vers la version 135.0.7049.95/.96 ou ultérieure.
RÉFÉRENCES :
