L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Google Chrome

avis de vulnérabilité informatique CVE-2016-1801 CVE-2016-5134

Proxy Auto-Config : obtention d'URLs HTTPS visitées

Synthèse de la vulnérabilité

Un attaquant peut héberger un fichier PAC conçu pour récupérer les informations envoyées à FindProxyForURL(), et utiliser un Man-in-the-Middle pour que la victime s'y connecte, afin d'obtenir des informations sur les URLs visitées.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Debian, Chrome, Firefox, SeaMonkey, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 05/08/2016.
Références : CVE-2016-1801, CVE-2016-5134, DSA-3637-1, HT206567, HT206568, openSUSE-SU-2016:1865-1, openSUSE-SU-2016:1868-1, openSUSE-SU-2016:1869-1, openSUSE-SU-2016:1918-1, RHSA-2016:1485-01, VIGILANCE-VUL-20329, VU#877625.

Description de la vulnérabilité

La fonctionnalité Proxy Auto-Config (PAC, généralement transmis via WPAD) permet au navigateur web de détecter automatiquement le proxy à utiliser pour joindre un site web distant.

Le fichier proxy.pac (généralement hébergé sur un site intranet comme http://intranet/proxy.pac) contient une fonction FindProxyForURL(), qui indique le proxy à utiliser pour une URL donnée. Cependant, les URLs https sensibles passent aussi par FindProxyForURL().

Un attaquant peut donc héberger un fichier PAC conçu pour récupérer les informations envoyées à FindProxyForURL(), et utiliser un Man-in-the-Middle pour que la victime s'y connecte, afin d'obtenir des informations sur les URLs visitées.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2016-5139 CVE-2016-5140 CVE-2016-5141

Google Chrome : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Fedora, Chrome, openSUSE Leap, Opera, RHEL, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 04/08/2016.
Références : CERTFR-2016-AVI-261, CVE-2016-5139, CVE-2016-5140, CVE-2016-5141, CVE-2016-5142, CVE-2016-5143, CVE-2016-5144, CVE-2016-5145, CVE-2016-5146, DSA-3645-1, FEDORA-2016-e9798eaaa3, openSUSE-SU-2016:2320-1, RHSA-2016:1580-01, USN-3058-1, VIGILANCE-VUL-20318.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut altérer l'affichage via Address Bar, afin de tromper la victime. [grav:2/4; CVE-2016-5141]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Blink, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-5142]

Un attaquant peut provoquer un buffer overflow via pdfium, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-22174). [grav:4/4; CVE-2016-5139]

Un attaquant peut provoquer un buffer overflow via pdfium, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-5140]

Un attaquant peut contourner la vérification de l'origine via Blink, afin d'accéder aux données de la victime. [grav:2/4; CVE-2016-5145]

Un attaquant peut contourner les mesures de sécurité via DevTools Parameters, afin d'élever ses privilèges. [grav:2/4; CVE-2016-5143]

Un attaquant peut contourner les mesures de sécurité via DevTools Parameters, afin d'élever ses privilèges. [grav:2/4; CVE-2016-5144]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-5146]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-5138

Google Chrome : débordement d'entier via kbasep_vinstr_attach_client

Synthèse de la vulnérabilité

Un attaquant peut provoquer un débordement d'entier via kbasep_vinstr_attach_client() de Google Chrome, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Chrome, openSUSE Leap, Opera.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 28/07/2016.
Références : CERTFR-2016-AVI-253, CERTFR-2016-AVI-261, CVE-2016-5138, openSUSE-SU-2016:2320-1, VIGILANCE-VUL-20245.

Description de la vulnérabilité

Le produit Google Chrome dispose d'un pilote Mali Midgard.

Cependant, si un entier est trop grand, une multiplication déborde dans kbasep_vinstr_attach_client(), et une zone mémoire trop courte est allouée.

Un attaquant peut donc provoquer un débordement d'entier via kbasep_vinstr_attach_client() de Google Chrome, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2016-1705 CVE-2016-1706 CVE-2016-1707

Google Chrome : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 18.
Date création : 21/07/2016.
Références : CERTFR-2016-AVI-247, CVE-2016-1705, CVE-2016-1706, CVE-2016-1707, CVE-2016-1708, CVE-2016-1709, CVE-2016-1710, CVE-2016-1711, CVE-2016-5127, CVE-2016-5128, CVE-2016-5129, CVE-2016-5130, CVE-2016-5131, CVE-2016-5132, CVE-2016-5133, CVE-2016-5134, CVE-2016-5135, CVE-2016-5136, CVE-2016-5137, DSA-3637-1, openSUSE-SU-2016:1865-1, openSUSE-SU-2016:1868-1, openSUSE-SU-2016:1869-1, openSUSE-SU-2016:1918-1, openSUSE-SU-2016:2320-1, RHSA-2016:1485-01, USN-3041-1, VIGILANCE-VUL-20188.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut contourner les mesures de sécurité via PPAPI, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1706]

Un attaquant peut altérer l'affichage via iOS, afin de tromper la victime. [grav:3/4; CVE-2016-1707]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Extensions, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1708]

Un attaquant peut provoquer un buffer overflow via sfntly, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1709]

Un attaquant peut contourner la vérification de l'origine via Blink, afin d'accéder aux données de la victime. [grav:2/4; CVE-2016-1710]

Un attaquant peut contourner la vérification de l'origine via Blink, afin d'accéder aux données de la victime. [grav:2/4; CVE-2016-1711]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Blink, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-5127]

Un attaquant peut contourner la vérification de l'origine via V8, afin d'accéder aux données de la victime. [grav:2/4; CVE-2016-5128]

Un attaquant peut provoquer une corruption de mémoire via V8, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-22316). [grav:4/4; CVE-2016-5129]

Un attaquant peut altérer l'affichage via URL, afin de tromper la victime. [grav:2/4; CVE-2016-5130]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via libxml, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-20993). [grav:3/4; CVE-2016-5131]

Un attaquant peut contourner la vérification de l'origine via Service Workers, afin d'accéder aux données de la victime. [grav:2/4; CVE-2016-5132]

Un attaquant peut contourner la vérification de l'origine via Proxy Authentication, afin d'accéder aux données de la victime. [grav:2/4; CVE-2016-5133]

Un attaquant peut contourner les mesures de sécurité via PAC Script, afin d'obtenir des informations sensibles (VIGILANCE-VUL-20329). [grav:2/4; CVE-2016-5134]

Un attaquant peut contourner la vérification de l'origine via Content-Security-Policy, afin d'accéder aux données de la victime. [grav:2/4; CVE-2016-5135]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Extensions, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-5136]

Un attaquant peut contourner les mesures de sécurité via HSTS/CSP History, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-5137]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1705]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-1672 CVE-2016-1673 CVE-2016-1674

Google Chrome : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 24.
Date création : 26/05/2016.
Date révision : 16/06/2016.
Références : 780, 787, bulletinapr2019, CERTFR-2016-AVI-180, CVE-2016-1672, CVE-2016-1673, CVE-2016-1674, CVE-2016-1675, CVE-2016-1676, CVE-2016-1677, CVE-2016-1678, CVE-2016-1679, CVE-2016-1680, CVE-2016-1681, CVE-2016-1682, CVE-2016-1683, CVE-2016-1684, CVE-2016-1685, CVE-2016-1686, CVE-2016-1687, CVE-2016-1688, CVE-2016-1689, CVE-2016-1690, CVE-2016-1691, CVE-2016-1692, CVE-2016-1693, CVE-2016-1694, CVE-2016-1695, DLA-514-1, DSA-3590-1, DSA-3605-1, openSUSE-SU-2016:1430-1, openSUSE-SU-2016:1433-1, openSUSE-SU-2016:1496-1, RHSA-2016:1190-01, TALOS-2016-0174, USN-2992-1, VIGILANCE-VUL-19705.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut contourner les mesures de sécurité via Extension Bindings, afin d'élever ses privilèges. [grav:4/4; CVE-2016-1672]

Un attaquant peut contourner les mesures de sécurité via Blink, afin d'élever ses privilèges. [grav:4/4; CVE-2016-1673]

Un attaquant peut contourner les mesures de sécurité via Extensions, afin d'élever ses privilèges. [grav:4/4; CVE-2016-1674]

Un attaquant peut contourner les mesures de sécurité via Blink, afin d'élever ses privilèges. [grav:4/4; CVE-2016-1675]

Un attaquant peut contourner les mesures de sécurité via Extension Bindings, afin d'élever ses privilèges. [grav:4/4; CVE-2016-1676]

Un attaquant peut provoquer une corruption de mémoire via V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1677]

Un attaquant peut provoquer une corruption de mémoire via V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1678]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1679]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Skia, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1680]

Un attaquant peut provoquer un buffer overflow via PDFium, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1681, TALOS-2016-0174]

Un attaquant peut contourner les mesures de sécurité via ServiceWorker, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1682]

Un attaquant peut forcer la lecture à une adresse invalide via libxslt, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1683]

Un attaquant peut provoquer un débordement d'entier via libxslt, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1684]

Un attaquant peut forcer la lecture à une adresse invalide via PDFium, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:3/4; CVE-2016-1685]

Un attaquant peut forcer la lecture à une adresse invalide via PDFium, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:3/4; CVE-2016-1686]

Un attaquant peut contourner les mesures de sécurité via Extensions, afin d'obtenir des informations sensibles. [grav:3/4; CVE-2016-1687]

Un attaquant peut forcer la lecture à une adresse invalide via V8, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:3/4; CVE-2016-1688]

Un attaquant peut provoquer un buffer overflow via media, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1689]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Autofill, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1690]

Un attaquant peut provoquer un buffer overflow via Skia, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-1691]

Un attaquant peut contourner les mesures de sécurité via ServiceWorker, afin d'élever ses privilèges. [grav:2/4; CVE-2016-1692]

Un attaquant peut contourner les restrictions d'accès aux fichiers via Software Removal Tool, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1693]

Un attaquant peut contourner les mesures de sécurité via HPKP, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1694]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1695]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-1696 CVE-2016-1697 CVE-2016-1698

Google Chrome : huit vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 02/06/2016.
Références : CERTFR-2016-AVI-188, CVE-2016-1696, CVE-2016-1697, CVE-2016-1698, CVE-2016-1699, CVE-2016-1700, CVE-2016-1701, CVE-2016-1702, CVE-2016-1703, DSA-3594-1, openSUSE-SU-2016:1489-1, openSUSE-SU-2016:1496-1, RHSA-2016:1201-01, SUSE-SU-2016:1490-1, USN-2992-1, VIGILANCE-VUL-19765.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut contourner le cloisonnement des scripts par domaine dans l'interface avec les extensions. [grav:3/4; CVE-2016-1696]

Un attaquant peut contourner le cloisonnement des scripts par domaine dans le module "Blink". [grav:3/4; CVE-2016-1697]

Un attaquant peut contourner les mesures de sécurité dans l'interface avec les extensions, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1698]

Un attaquant peut contourner la normalisation des paramètres dans le module "DevTools". [grav:2/4; CVE-2016-1699]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via le gestionnaire d'extensions, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-1700]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via le module "Autofill", afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-1701]

Un attaquant peut forcer la lecture à une adresse invalide dans le module "Skia", afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1702]

Un attaquant peut provoquer des corruptions de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1703]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2016-1667 CVE-2016-1668 CVE-2016-1669

Google Chrome : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 12/05/2016.
Références : CERTFR-2016-AVI-166, CVE-2016-1667, CVE-2016-1668, CVE-2016-1669, CVE-2016-1670, CVE-2016-1671, DSA-3590-1, openSUSE-SU-2016:1304-1, openSUSE-SU-2016:1319-1, openSUSE-SU-2016:1655-1, RHSA-2016:1080-01, USN-2960-1, VIGILANCE-VUL-19611.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut contourner les mesures de sécurité dans DOM, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1667]

Un attaquant peut contourner les mesures de sécurité dans Blink V8, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1668]

Un attaquant peut provoquer un buffer overflow dans V8, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-20142). [grav:3/4; CVE-2016-1669]

Un attaquant peut utiliser une vulnérabilité dans Loader, afin d'exécuter du code. [grav:2/4; CVE-2016-1670]

Un attaquant peut traverser les répertoires dans File Scheme, afin de lire un fichier situé hors de la racine. [grav:2/4; CVE-2016-1671]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-1660 CVE-2016-1661 CVE-2016-1662

Google Chrome : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 29/04/2016.
Références : CERTFR-2016-AVI-147, CVE-2016-1660, CVE-2016-1661, CVE-2016-1662, CVE-2016-1663, CVE-2016-1664, CVE-2016-1665, CVE-2016-1666, CVE-2016-5168, DSA-3564-1, openSUSE-SU-2016:1207-1, openSUSE-SU-2016:1208-1, openSUSE-SU-2016:1209-1, openSUSE-SU-2016:1546-1, openSUSE-SU-2016:1655-1, RHSA-2016:0707-01, USN-2960-1, VIGILANCE-VUL-19485.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut provoquer un buffer overflow dans Blink, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1660]

Un attaquant peut provoquer une corruption de mémoire dans Cross-process Frames, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1661]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Extensions, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1662]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Blink V8 Bindings, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1663]

Un attaquant peut usurper la barre d'adresse. [grav:2/4; CVE-2016-1664]

Un attaquant peut contourner les mesures de sécurité dans V8, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1665]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1666]

Un attaquant peut contourner les mesures de sécurité via Skia, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-5168]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2016-1651 CVE-2016-1652 CVE-2016-1653

Google Chrome : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 9.
Date création : 14/04/2016.
Références : CERTFR-2016-AVI-127, CVE-2016-1651, CVE-2016-1652, CVE-2016-1653, CVE-2016-1654, CVE-2016-1655, CVE-2016-1656, CVE-2016-1657, CVE-2016-1658, CVE-2016-1659, DSA-3549-1, openSUSE-SU-2016:1061-1, openSUSE-SU-2016:1135-1, openSUSE-SU-2016:1136-1, RHSA-2016:0638-01, USN-2955-1, VIGILANCE-VUL-19381, ZDI-16-243.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut provoquer un Cross Site Scripting dans Extension Bindings, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-1652]

Un attaquant peut provoquer un buffer overflow dans V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1653]

Un attaquant peut forcer la lecture à une adresse invalide dans Pdfium JPEG2000, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1651, ZDI-16-243]

Un attaquant peut lire un fragment de la mémoire de Media, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1654]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Extensions, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1655]

Une vulnérabilité inconnue a été annoncée dans File Path Restriction. [grav:2/4; CVE-2016-1656]

Un attaquant peut usurper la barre d'adresse. [grav:2/4; CVE-2016-1657]

Un attaquant peut contourner les mesures de sécurité dans Extensions, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1658]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1659]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-3679

V8 : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de V8.
Produits concernés : Chrome, openSUSE, openSUSE Leap, Opera, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Date création : 30/03/2016.
Références : CVE-2016-3679, openSUSE-SU-2016:0929-1, openSUSE-SU-2016:0930-1, openSUSE-SU-2016:1059-1, USN-2955-1, VIGILANCE-VUL-19266.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans V8.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Google Chrome :