Google a corrigé une faille zero-day de Chrome qui avait été partagé sur Twitter

0

Google a publié Chrome 90.0.4430.85 pour répondre à une faille zero-day activement exploitée et quatre autres vulnérabilités de sécurité de haute gravité impactant le navigateur Web le plus populaire au monde.

La version déployée le 20 avril 2021 sur le canal Stable pour les utilisateurs de Windows, Mac et Linux sera diffusée à tous les utilisateurs au cours des prochaines semaines.

« Google est au courant de rapports selon lesquels des exploits pour CVE-2021-21224 existent dans la nature », peut-on lire dans l’annonce de l’entreprise.

La preuve de concept partagée sur Twitter, la faille zero day corrigée une semaine après

Google n’a pas partagé de détails sur la faille zero-day en plus de la décrire comme un « type de confusion dans V8 » et en révélant que la faille a été signalée par Jose Martinez de VerSprite Inc.

Toutefois, Martinez l’a lié à un exploit publiquement partagé sur Twitter récemment après son premier rapport du Chrome Vulnerability Reward Program du 5 avril.

Cette vulnérabilité d’exécution de code à distance ne peut pas être exploitée par les attaquants pour échapper à la fonction de sécurité du bac à sable de Chrome (une fonctionnalité de sécurité conçue pour empêcher les exploits d’accéder à des fichiers ou d’exécuter du code sur les ordinateurs hôtes).

Cependant, il peut facilement être associé avec une autre faille de sécurité qui peut permettre à l’exploit d’échapper au bac à sable et d’exécuter du code arbitraire sur les systèmes des utilisateurs ciblés.

La preuve de concept pour l’exploit de CVE-2021-21224 a été partagée sur Twitter un jour après que Google ait déployé Chrome 89.0.4389.128 pour corriger une autre faille zero-day avec une preuve de concept publiquement partagée deux jours plus tôt.

Pas de détails sur les failles zero-day exploitées activement

Bien que Google dit être au courant de l’exploitation active de CVE-2020-16009, la société n’a pas fourni d’informations sur les pirates informatique derrière ces attaques.

« L’accès aux détails des bogues et des liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google.

« Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent aussi, mais qui n’ont pas encore été corrigés. »

Google a corrigé trois autres vulnérabilités de gravité élevée dans Chrome 90.0.4430.85:

  • CVE-2021-21222: Débordement de tampon de tas dans V8. Reporté par Guang Gong de Alpha Lab, Qihoo 360 le 30 Mars 2021
  • CVE-2021-21223: Débordement d’entier dans Mojo. Reporté par Guang Gong de Alpha Lab, Qihoo 360 le 2 Avril 2021
  • CVE-2021-21225: Accès à la mémoire hors-limite dans V8. Reporté par Brendon Tiszka (@btiszka) le 5 Avril 2021
  • CVE-2021-21226: Une faille Use after free dans la navigation. Reporté par Brendon Tiszka (@btiszka) en Avril 2021
Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.