Vulnérabilités multiples dans Google Chrome

Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Google Chrome. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, contourner les restrictions de sécurité, usurper l'interface utilisateur, exécuter du code arbitraire, augmenter les privilèges, obtenir des informations sensibles et effectuer des attaques de script intersite.

Voici une liste complète des vulnérabilités:

1. Une utilisation après libre dans le composant IndexedDB peut être exploitée à distance par un attaquant non authentifié afin de provoquer un déni de service;
2. Une validation insuffisante de l'entrée non fiable dans le composant Plugins PPAPI peut être exploitée à distance par un attaquant non authentifié afin de contourner les restrictions de sécurité;
3. Une implémentation inappropriée dans la gestion des boîtes de dialogue modales dans le composant Blink peut être exploitée à distance par un attaquant non authentifié pour usurper l'interface utilisateur;
4. Type de confusion dans les extensions JavaScript peut être exploité à distance par un attaquant non authentifié afin de contourner les restrictions de sécurité;
5. Le dépassement de pile dans le composant PDFium peut être exploité à distance par un attaquant non authentifié afin d'exécuter du code arbitraire;
6. Une application de stratégie insuffisante lors de la navigation peut être exploitée à distance par un attaquant non authentifié pour effectuer une attaque de script cross-site universelle;
7. Une validation insuffisante des entrées non fiables dans le composant Skia peut être exploitée à distance par un attaquant non authentifié afin de provoquer un déni de service;
8. Une utilisation après libre dans le composant V8 peut être exploitée à distance par un attaquant non authentifié pour causer un déni de service;
9. Une validation insuffisante de l'entrée non fiable dans le composant Plugins PPAPI peut être exploitée à distance par un attaquant non authentifié afin d'augmenter le privilège;
10. Une utilisation après libre dans le composant Apps peut être exploitée à distance par un attaquant non authentifié afin de provoquer un déni de service;
11. Une implémentation inappropriée dans le composant Omnibox peut être exploitée à distance par un attaquant non authentifié pour usurper l'interface utilisateur;
12. L'utilisation d'une valeur non initialisée dans le composant Skia peut être exploitée à distance par un attaquant non authentifié afin d'obtenir des informations sensibles;
13. Une implémentation inappropriée dans les interstitiels peut être exploitée à distance par un attaquant non authentifié pour usurper l'interface utilisateur;
14. Insufficient Policy Enforcement dans le composant Omnibox peut être exploité à distance par un attaquant non authentifié pour usurper l'interface utilisateur;
15. Une attaque de synchronisation dans le rendu SVG peut être exploitée à distance par un attaquant non authentifié pour effectuer une attaque de script inter-site universelle;
16. La confusion de type dans le composant PDFium peut être exploitée à distance par un attaquant non authentifié afin de contourner les restrictions de sécurité;
17. L'implémentation inappropriée de la gestion du gestionnaire de déchargement dans les invites d'autorisation peut être exploitée à distance par un attaquant non authentifié pour usurper l'interface utilisateur;
18. Une implémentation inappropriée de l'API de paiement Web sur les composants blob: et data: dans le composant Web Payments peut être exploitée à distance par un attaquant non authentifié afin d'usurper l'interface utilisateur;

---

Détails techniques

NB: Cette vulnérabilité n'a aucune cote CVSS publique, donc la notation peut être changée par le temps.

Fiches de renseignement originales

• Stable Channel Update for Desktop

Liste CVE

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com