CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Kaspersky ID:
KLA10745
Date de la détection:
01/20/2016
Mis à jour:
07/05/2018

Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Google Chrome. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour usurper l'interface utilisateur, provoquer un déni de service ou exécuter du code arbitraire.

Voici une liste complète des vulnérabilités

  1. Des vulnérabilités multiples non spécifiées sur HarfBuzz et V8 peuvent être exploitées pour provoquer un déni de service;
  2. Plusieurs débordements d'entiers sur PDFium peuvent être exploités via un fichier PDF spécialement conçu pour provoquer un déni de service;
  3. L'absence de mise en application du générateur de nombres aléatoires chez Blink peut être exploitée à distance pour contourner les restrictions de sécurité;
  4. L'absence d'application des stratégies http et ws sur Blink peut être exploitée à distance pour obtenir des informations sensibles;
  5. Une vulnérabilité inconnue peut être exploitée à distance via des vecteurs liés à des boutons pour usurper l'interface utilisateur;
  6. Une vulnérabilité inconnue chez Omnibox peut être exploitée à distance pour usurper l'interface utilisateur;
  7. Une mauvaise initialisation chez Blink peut être exploitée à distance via un site web spécialement conçu pour obtenir des informations sensibles;
  8. Plusieurs vulnérabilités d'utilisation après utilisation de PDFium peuvent être exploitées à distance via un fichier PDF spécialement conçu pour provoquer un déni de service;
  9. L'absence de vérification de compatibilité sur V8 peut être exploitée à distance via un JavaScript spécialement conçu pour provoquer un déni de service.

Détails techniques

Vulnérabilité (2) liée aux fonctions sycc422_to_rgb et sycc444_to_rgb dans fxcodec / codec / fx_codec_jpx_opj.cpp .

Vulnérabilité (3) liée à la version de Blink qui n'assure pas l'utilisation de cryptographicallyRandomValues . L'exploitation de cette vulnérabilité peut conduire à la défaite de la protection cryptographique.

Vulnérabilité (4) liée à la fonction CSPSource :: schemeMatches dans WebKit / Source / core / frame / csp / CSPSource.cpp dans l' implémentation de la stratégie de sécurité du contenu (CSP) qui n'applique pas les stratégies http aux URL HTTPS et n'applique pas les stratégies ws URL WSS. L'exploitation de cette vulnérabilité peut conduire à la divulgation d'informations sur des visites spécifiques de sites HSTS. Cette vulnérabilité peut être exploitée en lisant le rapport CSP.

Vulnérabilité (5) liée à la fonction CustomButton :: AcceleratorPressed dans ui / views / controls / button / custom_button.cc et pouvant être déclenchée via des vecteurs inconnus liés à un bouton personnalisé non focalisé.

En exploitant la vulnérabilité (6) malveillante peut usurper l'origine du document.

Vulnérabilité (7) liée à la classe UnacceleratedImageBufferSurface dans WebKit / Source / platform / graphics / UnacceleratedImageBufferSurface.cpp . En exploitant cette vulnérabilité malveillante peut obtenir des informations sensibles à partir de la mémoire de processus.

Vulnérabilité (8) liée à un mauvais suivi de la destruction des objets IPWL_FocusHandler et IPWL_Provider .

Vulnérabilité (9) liée à la fonction LoadLoadIC :: UpdateCaches dans ic / ic.cc qui n'assure pas la compatibilité du récepteur.

Fiches de renseignement originales

Liste CVE

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Confirm changes?
Your message has been sent successfully.