Vulnérabilité d’exécution de code à distance dans le composant Skia de Google Chrome.

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/019

Date de l’alerte : 20/04/2023

APERÇU :

Skia, un composant de Google Chrome, est affecté par une vulnérabilité de type exécution de code à distance permettant à un acteur malveillant d’exécuter du code arbitraire sur un système.

DESCRIPTION :

Skia est une bibliothèque qui fournit des fonctionnalités avancées pour le rendu d’images et la création d’interfaces utilisateur. Il est utilisé dans de nombreux produits Google pour fournir des expériences utilisateur de haute qualité et est également disponible pour les développeurs tiers qui cherchent à améliorer leurs propres applications avec des fonctionnalités graphiques avancées.

Cette bibliothèque présente une vulnérabilité libellée CVE-2023-2136 qui permet à un acteur malveillant d’effectuer un débordement d’entier dans Google Chrome afin d’exécuter du code malveillant sur le système cible. Pour y parvenir, l’acteur malveillant peut inciter les utilisateurs à visiter une page web spécialement conçue pour exécuter du code malveillant sur le système cible, ce qui met en danger la sécurité du système.

Cette vulnérabilité est de sévérité critique avec un score de 8.8. 

IMPACT :

  • Atteinte à la confidentialité des données. 
  • Atteinte à l’intégrité des données. 
  • Atteinte à la disponibilité des données. 

SYSTEMES AFFECTÉS : 

  • Google Chrome versions inférieures à 112.0.5615.137.
  • Microsoft Edge versions inférieures à 112.0.1722.48.

MESURES À PRENDRE :

Mettre à jour Google Chrome vers les versions :

  • supérieures à 112.0.5615.137/138 sur Windows ;
  • supérieures à 112.0.5615.137 sur mac ;
  • supérieures à 112.0.5615.165 sur Linux.

REFERENCES :

Partagez sur vos réseaux.