Risques
- Contournement de la politique de sécurité
- Injection de code indirecte
Systèmes affectés
Google Chrome versions antérieures à la version 3.0.195.21.
Résumé
Des vulnérabilités permettant de réaliser de l'injection de code indirecte ont été découvertes dans le navigateur Google Chrome.
Description
Deux vulnérabilités ont été découvertes dans le navigateur Google Chrome :
- la première résulte d'une mauvaise gestion des flux RSS et Atom et permet d'exécuter du code indirect via un flux spécialement construit ;
- la seconde est due à une erreur au niveau de la méthode getSVGDocument et permet d'exécuter du code HTML ou du script à distance via un document SVG spécialement construit.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bloc-notes Google Chrome http://googlechromereleases.blogspot.com/2009/09/stable-channel-update.html
- Référence CVE CVE-2009-3263 https://www.cve.org/CVERecord?id=CVE-2009-3263
- Référence CVE CVE-2009-3264 https://www.cve.org/CVERecord?id=CVE-2009-3264
