Origine : bjCSIRT
Numéro : 2023/ALERTE/053
Date de l’alerte : 30/11/2023
APERÇU :
Skia, un composant de Google Chrome, est affecté par une vulnérabilité de type dépassement d’entier qui permettrait à un acteur malveillant d’exécuter du code arbitraire sur un système ou de le rendre indisponible.
DESCRIPTION :
Skia est une bibliothèque graphique qui fournit des fonctionnalités avancées pour le rendu d’images et la création d’interfaces utilisateur. Il est utilisé dans de nombreux produits Google tel que le navigateur web Google Chrome pour fournir des expériences utilisateur de haute qualité et est également disponible pour les développeurs tiers qui cherchent à améliorer leurs propres applications avec des fonctionnalités graphiques avancées.
Cette bibliothèque présente une vulnérabilité libellée CVE-2023-6345, qui permettrait à un acteur malveillant de provoquer un débordement dans le navigateur de la victime afin d’exécuter du code arbitraire sur le système cible ou de le rendre indisponible. Pour y parvenir, l’acteur malveillant peut inciter les utilisateurs à visiter une page web spécialement forgée afin d’obliger la bibliothèque Skia à effectuer des calculs, dont les valeurs résultantes ont une représentation dépassant la taille maximale prévue.
Cette vulnérabilité a un niveau de criticité élevé et son score CVSS 3 est de 8.8.
IMPACT :
- Atteinte à l’intégrité des données;
- Atteinte à la disponibilité des données;
- Atteinte à la confidentialité des données.
SYSTÈMES AFFECTÉS :
- Google Chrome versions antérieures à 119.0.6045.199.
MESURES À PRENDRE :
- Mettre à jour Google Chrome vers la version 119.0.6045.199 ou ultérieure.
RÉFÉRENCES :
