CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA10745
Vulnérabilités multiples dans Google Chrome
Mis à jour: 07/05/2018
Date de la détection
?
01/20/2016
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Google Chrome. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour usurper l'interface utilisateur, provoquer un déni de service ou exécuter du code arbitraire.

Voici une liste complète des vulnérabilités

  1. Des vulnérabilités multiples non spécifiées sur HarfBuzz et V8 peuvent être exploitées pour provoquer un déni de service;
  2. Plusieurs débordements d'entiers sur PDFium peuvent être exploités via un fichier PDF spécialement conçu pour provoquer un déni de service;
  3. L'absence de mise en application du générateur de nombres aléatoires chez Blink peut être exploitée à distance pour contourner les restrictions de sécurité;
  4. L'absence d'application des stratégies http et ws sur Blink peut être exploitée à distance pour obtenir des informations sensibles;
  5. Une vulnérabilité inconnue peut être exploitée à distance via des vecteurs liés à des boutons pour usurper l'interface utilisateur;
  6. Une vulnérabilité inconnue chez Omnibox peut être exploitée à distance pour usurper l'interface utilisateur;
  7. Une mauvaise initialisation chez Blink peut être exploitée à distance via un site web spécialement conçu pour obtenir des informations sensibles;
  8. Plusieurs vulnérabilités d'utilisation après utilisation de PDFium peuvent être exploitées à distance via un fichier PDF spécialement conçu pour provoquer un déni de service;
  9. L'absence de vérification de compatibilité sur V8 peut être exploitée à distance via un JavaScript spécialement conçu pour provoquer un déni de service.

Détails techniques

Vulnérabilité (2) liée aux fonctions sycc422_to_rgb et sycc444_to_rgb dans fxcodec / codec / fx_codec_jpx_opj.cpp .

Vulnérabilité (3) liée à la version de Blink qui n'assure pas l'utilisation de cryptographicallyRandomValues . L'exploitation de cette vulnérabilité peut conduire à la défaite de la protection cryptographique.

Vulnérabilité (4) liée à la fonction CSPSource :: schemeMatches dans WebKit / Source / core / frame / csp / CSPSource.cpp dans l' implémentation de la stratégie de sécurité du contenu (CSP) qui n'applique pas les stratégies http aux URL HTTPS et n'applique pas les stratégies ws URL WSS. L'exploitation de cette vulnérabilité peut conduire à la divulgation d'informations sur des visites spécifiques de sites HSTS. Cette vulnérabilité peut être exploitée en lisant le rapport CSP.

Vulnérabilité (5) liée à la fonction CustomButton :: AcceleratorPressed dans ui / views / controls / button / custom_button.cc et pouvant être déclenchée via des vecteurs inconnus liés à un bouton personnalisé non focalisé.

En exploitant la vulnérabilité (6) malveillante peut usurper l'origine du document.

Vulnérabilité (7) liée à la classe UnacceleratedImageBufferSurface dans WebKit / Source / platform / graphics / UnacceleratedImageBufferSurface.cpp . En exploitant cette vulnérabilité malveillante peut obtenir des informations sensibles à partir de la mémoire de processus.

Vulnérabilité (8) liée à un mauvais suivi de la destruction des objets IPWL_FocusHandler et IPWL_Provider .

Vulnérabilité (9) liée à la fonction LoadLoadIC :: UpdateCaches dans ic / ic.cc qui n'assure pas la compatibilité du récepteur.

Produits concernés

Versions de Google Chrome antérieures à 48.0.2564.82

Solution

Mettre à jour à la dernière version. Le fichier portant le nom old_chrome peut toujours être détecté après la mise à jour. Il a causé par la politique de mise à jour de Google Chrome qui ne supprime pas les anciennes versions lors de l'installation des mises à jour. Essayez de contacter le fournisseur pour d'autres instructions de suppression ou ignorez ce type d'alertes à vos risques et périls.
Obtenir Chrome

Fiches de renseignement originales

Google Chrome releases blog

Impacts
?
SUI 
[?]

ACE 
[?]

OSI 
[?]

DoS 
[?]
Produits liés
Google Chrome
CVE-IDS
?

CVE-2016-2052
CVE-2016-2051
CVE-2016-1620
CVE-2016-1619
CVE-2016-1618
CVE-2016-1617
CVE-2016-1616
CVE-2016-1615
CVE-2016-1614
CVE-2016-1613
CVE-2016-1612


Lien vers l'original