Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité ;
- atteinte à la confidentialité des données.
Systèmes affectés
Google Chrome versions antérieures à la version 2.0.172.43.
Résumé
Plusieurs vulnérabilités permettant, entre autres, l'exécution de code arbitraire à distance ont été découvertes dans Google Chrome.
Description
Plusieurs vulnérabilités ont été découvertes dans le navigateur Google Chrome :
- la première vulnérabilité est due à une erreur dans le moteur d'interprétation du langage javascript et permet à un utilisateur malveillant d'accéder à la mémoire ;
- la deuxième vulnérabilité est due à une mauvaise gestion des certificats SSL, permettant ainsi de contourner les mécanismes de confidentialité mis en place ;
- les deux dernières vulnérabilités sont issues de l'utilisation d'une version vulnérable de la bibliothèque libxml2, et permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Note de mise à jour Google Chrome du 25 août 2009 :
http://googlechromereleases.blogspot.com/2009/08/stable-update-security-fixes.html
- Référence CVE CVE-2009-2935 :
https://www.cve.org/CVERecord?id=CVE-2009-2935
- Référence CVE CVE-2009-2414 :
https://www.cve.org/CVERecord?id=CVE-2009-2414
- Référence CVE CVE-2009-2416 :
https://www.cve.org/CVERecord?id=CVE-2009-2416