Exécution de code malveillant : de multiples vulnérabilités découvertes dans le navigateur Chrome Google
Google Chrome a publié une mise à jour de sécurité critique traitant de six vulnérabilités qui pourraient potentiellement permettre l'exécution de code arbitraire sur les systèmes affectés. CVE-2025-8879 représente un tas vulnérabilité de dépassement de tampon dans la bibliothèque libaom, qui gère les opérations d'encodage et de décodage vidéo. Ce type de vulnérabilité permet aux attaquants d’écrire des données au-delà des limites de mémoire allouée, écrasant potentiellement les informations critiques du système. D'autres vulnérabilités de gravité moyenne ont également été corrigées, notamment CVE-2025-8881, qui traite de l'implémentation inappropriée dans le composant File Picker, et CVE-2025-8882, une vulnérabilité d'utilisation après libération dans le système de fenêtrage Aura.
La troisième faille de haute gravité, CVE-2025-8901, implique une vulnérabilité d'écriture hors limites dans ANGLE (Almost Native Graphics Layer Engine), qui traduit les appels d'API OpenGL ES en API prises en charge par le matériel. L'équipe de sécurité de Chrome a utilisé plusieurs méthodologies de détection avancées pour identifier ces vulnérabilités, notamment AddressSanitizer pour détecter les bogues de corruption de mémoire, MemorySanitizer pour les lectures de mémoire non initialisées et UndefinedBehaviorSanitizer pour détecter les comportements indéfinis dans le code C/C++.
Ces vulnérabilités présentent collectivement de graves risques de sécurité, car les débordements de tampon de tas et les conditions de concurrence dans les principaux composants du navigateur peuvent être exploités pour exécuter du code malveillant avec des privilèges de navigateur.
Risques
- Exécution de code
- Exécution de code malveillant
- Exécution de code arbitraire
Systèmes affectés
- Chrome sur Windows
- Chrome sur MacBook
- Chrome sur Linux
Solutions
- Mettre à jour Chrome maintenant via Paramètres > À propos de Chrome
Source : Cyber Security News
