Multiples vulnérabilités dans Google Chrome

Gestion du document

Référence	CERTFR-2019-ALE-015
Titre	Multiples vulnérabilités dans Google Chrome
Date de la première version	04 novembre 2019
Date de la dernière version	08 janvier 2020
Source(s)	Bulletin de sécurité Google du 31 octobre 2019
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire à distance

Systèmes affectés

Google Chrome versions antérieures à 78.0.3904.87

Résumé

De multiples vulnérabilités ont été découvertes dans Google Chrome. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance. Plusieurs sources, dont Google, confirment que l'une des vulnérabilités (CVE-2019-13720) est actuellement utilisée dans des attaques via des sites Web légitimes compromis. Les attaquants insèrent, sur ces sites insuffisamment sécurisés, un code JavaScript malveillant qui sera exécuté par le navigateur Chrome pour installer un maliciel sur le poste de l'internaute ayant accédé à un de ces sites.

Solution

Le CERT FR recommande d'appliquer la mise à jour de Google Chrome sans délai. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Avis CERT-FR CERTFR-2019-AVI-542 du 04 novembre 2019
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-542/
Bulletin de sécurité Google du 31 octobre 2019
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
Référence CVE CVE-2019-13720
https://www.cve.org/CVERecord?id=CVE-2019-13720
Référence CVE CVE-2019-13721
https://www.cve.org/CVERecord?id=CVE-2019-13721

Gestion détaillée du document

le 04 novembre 2019: Version initiale

le 08 janvier 2020: Clôture de l'alerte.

Bulletin d'alerte du CERT-FR

Objet: Multiples vulnérabilités dans Google Chrome