Google patch 8 bugs importants dans son navigateur Chrome

La semaine dernière, Google a distribué des patchs de sécurité pour éliminer des failles de sécurités importantes dans son navigateur Chrome. Des correctifs pour tous les bugs révélés par Google dans son avis de sécurité seront déployés au cours des prochains jours.

Dans l’ensemble, huit failles de sécurité ont été corrigés dans la version 80.0.3987.162 du navigateur Chrome pour Windows, Mac et Linux. Parmi ces failles, la plus grave permet l’exécution de code arbitraire, selon le Center for Internet Security (CIS).

“Une exploitation réussie de la plus grave faille pourrait permettre à un pirate informatique d’exécuter du code arbitraire dans le contexte du navigateur”, selon le CIS dans une alerte publiée la semaine dernière. «Selon les privilèges associés à l’application, un pirate informatique pourrait afficher, modifier ou supprimer des données. Si cette application a été configurée pour avoir moins de droits d’utilisateur sur le système, l’exploitation de la plus grave de ces vulnérabilités pourrait avoir moins d’impact que si elle était configurée avec des droits d’administration.»

google chrome

Comme c’est généralement le cas pour les mises à jour de Chrome, Google ne partage pas initialement de détails sur les failles “jusqu’à ce que la majorité des utilisateurs aient mis à jour vers une version patchée”. Cependant, ils ont un peu parlé de 3 vulnérabilités découvertes par des chercheurs externes.

Il s’agit notamment de 2 vulnérabilités importantes du composant WebAudio de Chrome (CVE-2020-6450 et CVE-2020-6451). Le composant WebAudio est utilisé pour traiter et synthétiser l’audio dans les applications Web.

Les failles associées à CVE-2020-6450 et CVE-2020-6451 sont toutes deux des failles use-after-free. Use-after-free est une faille de corruption de mémoire où une tentative est faite pour accéder à la mémoire après sa libération. Cela peut entraîner plusieurs résultats, allant de la panne d’un programme jusqu’à l’exécution de code arbitraire.

Selon la base de données de vulnérabilités Vuldb, la faille liée à CVE-2020-6450 pourrait être exploitée à distance et aucune forme d’authentification n’est requise pour l’exploitation. Les deux failles ont été signalées par Man Yue Mo du GitHub Security Lab le 17 mars.

chrome

Une autre vulnérabilité a été découverte dans le composant multimédia de Chrome, qui affiche la vidéo et l’audio dans les navigateurs. La vulnérabilité (CVE-2020-6452) est un dépassement de tampon sur le tas. Une attaque par dépassement de tampon existe lorsqu’un tampon (une région de la mémoire physique utilisée pour stocker temporairement les données) est alloué dans la partie du tas de la mémoire (une région de la mémoire du processus qui est utilisée pour stocker des variables dynamiques). Ces données en trop corrompent à leur tour l’espace voisin en mémoire et pourraient altérer d’autres données, ouvrant la porte à des attaques malveillantes. Cette faille a été signalée par un chercheur sous l’alias «asnine» le 9 mars.

Comment se protéger de cette faille de Google Chrome?

L’alerte du CIS a recommandé aux utilisateurs de Chrome «d’appliquer la mise à jour stable fournie par Google aux systèmes vulnérables immédiatement après les tests appropriés».

Chrome a souffert de vulnérabilités au cours des derniers mois. En Février 2020, Google a déclaré avoir corrigé une faille zero-day du navigateur Chrome qui était activement exploitée par des pirates informatiques. La faille affectait les versions de Chrome fonctionnant sur les plates-formes Windows, macOS et Linux.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x