Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Google Chrome versions antérieures à la version 2.0.172.43.
Résumé
Plusieurs vulnérabilités permettant, entre autres, l'exécution de code arbitraire à distance ont été découvertes dans Google Chrome.
Description
Plusieurs vulnérabilités ont été découvertes dans le navigateur Google Chrome :
- la première vulnérabilité est due à une erreur dans le moteur d'interprétation du langage javascript et permet à un utilisateur malveillant d'accéder à la mémoire ;
- la deuxième vulnérabilité est due à une mauvaise gestion des certificats SSL, permettant ainsi de contourner les mécanismes de confidentialité mis en place ;
- les deux dernières vulnérabilités sont issues de l'utilisation d'une version vulnérable de la bibliothèque libxml2, et permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Note de mise à jour Google Chrome du 25 août 2009 http://googlechromereleases.blogspot.com/2009/08/stable-update-security-fixes.html
- Référence CVE CVE-2009-2414 https://www.cve.org/CVERecord?id=CVE-2009-2414
- Référence CVE CVE-2009-2416 https://www.cve.org/CVERecord?id=CVE-2009-2416
- Référence CVE CVE-2009-2935 https://www.cve.org/CVERecord?id=CVE-2009-2935