Prise de contrôle d’un système à distance via une vulnérabilité au sein du logiciel Google Chrome

Prise de contrôle d’un système à distance via une vulnérabilité au sein du logiciel Google Chrome

Une vulnérabilité affectant Google Chrome a été corrigée. Son exploitation permettait à un attaquant de prendre le contrôle du système.

La faille de sécurité référencée CVE-2019-5786 provenait d’une erreur au sein de la gestion de la mémoire du composant FileReader. Cette faille permettait d’accéder à une zone mémoire après libération de cette dernière (« use-after-free »).

FileReader est une API qui permet aux applications Web de lire de façon asynchrone le contenu des fichiers présents sur le système, à travers d’objets « File » ou « Blob ».

Un attaquant pouvait exploiter cette vulnérabilité pour élever ses privilèges sur le navigateur et s’échapper de la sandbox pour exécuter du code arbitraire sur le système.

Dans son bulletin de sécurité, Google a annoncé être au courant de l’existence d’un code exploitation pour la vulnérabilité et qu’elle est activement exploitée dans la nature.

Un correctif est disponible (Google Chrome version 72.0.3626.121).

 


Référence

Chrome Release – Stable Channel Update for Desktop


Arthur Gautier