CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Date de la détection
?
|
08/31/2016 |
Sévérité
?
|
Critique |
Description
|
Plusieurs vulnérabilités sérieuses ont été trouvées dans Google Chrome. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour contourner les restrictions de sécurité ou injecter du code arbitraire. Voici une liste complète des vulnérabilités
Détails techniques Vulnérabilité (1) liée à SkPath.cpp qui ne valide pas correctement les valeurs de retour des appels ChopMonoAtY. Vulnérabilité (2) causée par l'absence de restrictions sur l'enregistrement d'une URL file: // référencée par une URL http: //. Cette vulnérabilité peut mener à la découverte de hachages NetNTLM et d'attaques par relais SMB et peut être exploitée via une page Web spécialement conçue avec le menu "Enregistrer la page sous". Vulnérabilité (3) peut être exploitée via le paramètre settings dans une chaîne de requête de l'URL chrome-devtools-frontend.appspot.com. Vulnérabilité (4) liée à l'implémentation du texte bidirectionnel qui n'assure pas le rendu de gauche à droite (LTR) des URL. La vulnérabilité de Thiw peut être exploitée via un texte Unicode de droite à gauche (RTL), lié à omnibox / SuggestionView.java et omnibox / UrlBar.java dans Chrome pour Android. Vulnérabilité (5) liée à la fonction AllowCrossRendererResourceLoad dans extensions / browser / url_request_util.cc qui n'utilise pas correctement le champ manifest.json web_accessible_resources d'une extension pour les restrictions sur les éléments IFRAME. Vulnérabilité (6) liée à la fonction EditingStyle :: mergeStyle dans WebKit / Source / core / editing / EditingStyle.cpp. Vulnérabilité (7) liée aux appels opj_aligned_malloc dans dwt.c et t1.c dans OpenJPEG. Vulnérabilité (8) liée à la fonction opj_dwt_interleave_v dans dwt.c. Vulnérabilité (9) liée à extensions / renderer / event_bindings.cc dans les liaisons d'événements qui tente de traiter les événements filtrés après l'échec de l'ajout d'un programme d'événement. La vulnérabilité (10) peut être exploitée pour usurper la barre d'adresse. Vulnérabilité (12) liée à l'implémentation des animations Web. Vulnérabilité (13) liée à la fonction opj_tcd_get_decoded_tile_size dans tcd.c. Vulnérabilité (14) liée à fpdfsdk / javascript / JS_Object.cpp et fpdfsdk / javascript / app.cpp. Vulnérabilité (15) liée à WebKit / Source / bindings / modules / v8 / V8BindingForModules.cpp qui a une implémentation de l'API Indexed Database (aka IndexedDB) qui ne limite pas correctement l'évaluation du chemin clé. Vulnérabilité (16) liée au sous-système extensions qui repose sur une URL source IFRAME pour identifier une extension associée. Cette vulnérabilité peut être exploitée en exploitant l'accès au script à une ressource qui a initialement l'URL about: blank. |
Produits concernés
|
Versions de Google Chrome antérieures à 53.0.2785.89 |
Solution
|
Mettre à jour à la dernière version. Le fichier portant le nom old_chrome peut toujours être détecté après la mise à jour. Il a causé par la politique de mise à jour de Google Chrome qui ne supprime pas les anciennes versions lors de l'installation des mises à jour. Essayez de contacter le fournisseur pour d'autres instructions de suppression ou ignorez ce type d'alertes à vos risques et périls. |
Fiches de renseignement originales
|
|
Impacts
?
|
CI
[?] ACE [?] SB [?] |
CVE-IDS
?
|
CVE-2016-5147 |
Lien vers l'original |
|
Découvrez les statistiques de la propagation des vulnérabilités dans votre région |