S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 24 septembre 2009
N° CERTA-2009-AVI-401
Affaire suivie par: CERT-FR
le 24 septembre 2009

Avis du CERT-FR

Objet: Mutiples vulnérabilités du navigateur Google Chrome

Gestion du document

Référence CERTA-2009-AVI-401
Titre Mutiples vulnérabilités du navigateur Google Chrome
Date de la première version 24 septembre 2009
Date de la dernière version 24 septembre 2009
Source(s) Bloc-notes Google Chrome
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • injection de code indirecte.

Systèmes affectés

Google Chrome versions antérieures à la version 3.0.195.21.

Résumé

Des vulnérabilités permettant de réaliser de l'injection de code indirecte ont été découvertes dans le navigateur Google Chrome.

Description

Deux vulnérabilités ont été découvertes dans le navigateur Google Chrome :

  • la première résulte d'une mauvaise gestion des flux RSS et Atom et permet d'exécuter du code indirect via un flux spécialement construit ;
  • la seconde est due à une erreur au niveau de la méthode getSVGDocument et permet d'exécuter du code HTML ou du script à distance via un document SVG spécialement construit.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 24 septembre 2009
    version initiale.