Origine : bjCSIRT
Numéro : 2024/ALERTE/001
Date de l’alerte : 04/01/2024
APERÇU :
Plusieurs vulnérabilités ont été identifiées dans le navigateur Google Chrome, et l’exploitation de certaines d’entre elles pourrait permettre à un attaquant distant de provoquer un déni de service et une exécution de code arbitraire à distance sur le système ciblé.
DESCRIPTION :
Chrome est un navigateur web propriétaire développé par Google depuis 2008, basé sur le projet libre Chromium fonctionnant sous Windows, Mac, Linux, Android et iOS.
Libellée sous les CVE-2024-022, CVE-2024-0223, CVE-2024-0224 et CVE-2024-0225, l’exploitation de ces vulnérabilités permettrait à un attaquant distant d’exécuter du code arbitraire à distance. Ci-dessous une énumération des vulnérabilités :
- CVE-2024-0222 : Use After free dans la bibliothèque ANGLE de Chrome ;
- CVE-2024-0223 : Heap buffer overflow dans la bibliothèque ANGLE de Chrome ;
- CVE-2024-0224 : Use After free dans le composant WebAudio de Chrome ;
- CVE-2024-0225 : Use After free dans le composant WebGPU de Chrome.
L’attaque peut être déclenchée par une page web malveillante spécialement conçue.
Ces vulnérabilités ont été classées critiques par l’éditeur.
IMPACT :
- Exécution de code arbitraire
- Déni de service
SYSTÈMES AFFECTÉS :
- Google Chrome version inférieure à 120.0.6099.200.
MESURES À PRENDRE :
- Effectuer la dernière mise à jour de sécurité.
RÉFÉRENCES :
