S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 novembre 2009
N^o CERTA-2009-AVI-481

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilités dans Google Chrome

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-481

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2009-AVI-481
Titre	Vulnérabilités dans Google Chrome
Date de la première version	06 novembre 2009
Date de la dernière version	-
Source(s)	Article de sécurité Google Chrome du 05 novembre 2009
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance ;
déni de service à distance ;
contournement de la politique de sécurité ;
atteinte à la confidentialité des données.

2 Systèmes affectés

Google Chrome 3.x.

3 Résumé

Deux vulnérabilités découvertes dans Google Chrome permettent à un utilisateur distant malintentionné de provoquer un déni de service, de porter atteinte à la confidentialité des données ou d'exécuter du code arbitraire à distance.

4 Description

Une vulnérabilité présente dans le navigateur Internet Google Chrome peut être exploitée pour contourner la politique de sécurité afin de ne pas afficher de message d'avertissement lors du téléchargement de fichiers au format XML, MHT, SVG, et ainsi exécuter du code arbitraire à distance.
La seconde vulnérabilité présente dans le module Gears, permet à un utilisateur distant de corrompre la base de données et provoquer l'arrêt brutal du module.

5 Solution

Se référer à l'article de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Article de sécurité Google Chrome du 05 novembre 2009 :

http://googlechromerelease.blogspot.com/2009/11/stable-channel-update.html

Gestion détaillée du document

06 novembre 2009: version initiale.

CERTA
2010-01-20