Exécution de code arbitraire : une vulnérabilité critique d'utilisation dans la bibliothèque graphique ANGLE chez Google Chrome

Google a publié une mise à jour de sécurité d'urgence pour Chrome afin de remédier à une vulnérabilité critique d'utilisation après libération (CVE-2025-9478) dans la bibliothèque graphique ANGLE qui pourrait permettre aux attaquants d'exécuter du code arbitraire sur des systèmes compromis. La vulnérabilité affecte les versions de Chrome antérieures à 139.0.7258.154/.155 sur les plates-formes Windows, Mac et Linux.

La vulnérabilité réside dans la bibliothèque ANGLE (Almost Native Graphics Layer Engine) de Chrome, qui traduit les appels d'API OpenGL ES en API graphiques spécifiques au matériel, notamment Direct3D, Vulkan et OpenGL natif. Il faut noter que ces vulnérabilités se produisent lorsqu'un programme continue d'utiliser un pointeur de mémoire après que la mémoire a été désallouée, créant ainsi des opportunités de manipulation de tas et d'attaques de corruption de mémoire.

Par ailleurs, cette vulnérabilité est particulièrement préoccupante en raison de l'utilisation généralisée d'ANGLE dans les applications Web qui utilisent le rendu WebGL, les opérations HTML5 Canvas et le traitement graphique accéléré par GPU. Les attaquants pourraient exploiter des attaques de téléchargement au volant, des publicités malveillantes ou des sites Web compromis pour fournir des charges utiles d'exploitation qui cible cette faille de corruption de mémoire.

Risques

• Corruption de mémoire
• Exécution de code arbitraire

Systèmes affectés

• Chrome Desktop (≤ 139.0.7258.153) Windows 
• Chrome Desktop (≤ 139.0.7258.153) Mac 
• Chrome Desktop (≤ 139.0.7258.153) Linux

Solutions

• Mettre à jour maintenant
• Utiliser EDR, isolation et CSP pour bloquer les exploits

Source :  Cyber Security News