CERTFR-2020-ALE-023
Vulnerability from certfr_alerte

De multiples vulnérabilités ont été découvertes dans Google Chrome. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Plusieurs sources, dont Google, confirment que ces vulnérabilités sont actuellement utilisées dans le cadre d'attaques ciblées via des codes Javascript intégrés dans des sites Web déjà compromis. Pour certains d'entre elles, des preuves de concept sont disponibles publiquement.

Solution

Le CERT FR recommande d'appliquer la mise à jour de Google Chrome sans délai. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
Google Chrome Google Chrome versions antérieures à 86.0.4240.198
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Google Chrome versions ant\u00e9rieures \u00e0 86.0.4240.198",
      "product": {
        "name": "Chrome",
        "vendor": {
          "name": "Google",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2020-12-04",
  "content": "## Solution\n\nLe CERT FR recommande d\u0027appliquer la mise \u00e0 jour de Google Chrome sans\nd\u00e9lai. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention\ndes correctifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2020-16013",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-16013"
    },
    {
      "name": "CVE-2020-16017",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-16017"
    },
    {
      "name": "CVE-2020-16009",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-16009"
    }
  ],
  "initial_release_date": "2020-11-12T00:00:00",
  "last_revision_date": "2020-12-04T00:00:00",
  "links": [
    {
      "title": "Avis du CERT-FR - CERTFR-2020-AVI-732 du 12 novembre 2020",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-732/"
    },
    {
      "title": "Avis du CERT-FR - CERTFR-2020-AVI-703 du 03 novembre 2020",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-703/"
    }
  ],
  "reference": "CERTFR-2020-ALE-023",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-11-12T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2020-12-04T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Google Chrome.\nElles permettent \u00e0 un attaquant de provoquer une ex\u00e9cution de code\narbitraire \u00e0 distance et un contournement de la politique de s\u00e9curit\u00e9.\n\nPlusieurs sources, dont Google, confirment que ces vuln\u00e9rabilit\u00e9s sont\nactuellement utilis\u00e9es dans le cadre d\u0027attaques cibl\u00e9es *via* des codes\nJavascript int\u00e9gr\u00e9s dans des sites Web d\u00e9j\u00e0 compromis. Pour certains\nd\u0027entre elles, des preuves de concept sont disponibles publiquement.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Google  Chrome",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Google du 11 novembre 2020",
      "url": "https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Google du 02 novembre 2020",
      "url": "https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.