Google a patché une faille activement exploitée dans Chrome

0

Google a corrigé une vulnérabilité dans son navigateur Chrome et avertit les utilisateurs de Chrome qu’un exploit existe dans la nature pour cette faille.

La vulnérabilité est concernée par l’un des 47 correctifs de sécurité que le géant de la technologie a déployé la semaine dernière dans Chrome 89.0.4389.72, y compris les correctifs pour huit failles de haute gravité.

« L’équipe de Chrome est ravie d’annoncer la promotion de Chrome 89 sur le canal stable pour Windows, Mac et Linux », a déclaré Google. « Cela se fera au cours des prochains jours et des prochaines semaines. »

Google Chrome: une faille de sécurité activement exploitée

La vulnérabilité activement exploitée en question (CVE-2021-21166) provient de la composante audio du navigateur (qui a déjà eu divers problèmes de sécurité dans le passé). Selon Google, la faille provient d’un problème de cycle de vie de l’objet. Le cycle de vie de l’objet est la durée pendant laquelle un objet de langage de programmation est valide pour une utilisation – entre le moment où il est créé et détruit.

google-chrome

Au-delà de Google notant qu’ils « sont au courant des rapports qu’un exploit pour CVE-2021-21166 existe dans la nature, » plus d’informations sur le problème ne sont pas disponibles. C’est parce que « l’accès aux détails des bogues et des liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », selon Google.

La faille a été signalée par Alison Huffman, de l’équipe Microsoft Browser Vulnerability Research, le 11 février. Huffman a signalé une autre faille de grande gravité que Google a corrigé dans Chrome, qui découle également d’un problème de cycle de vie d’objet dans le composant audio (CVE-2021-21165).

Autres failles de sécurité grave de Chrome

Les détails concernant les autres vulnérabilités de grande gravité corrigés par Google dans Chrome restent rares. Toutefois, Google a déclaré avoir corrigé trois vulnérabilités de débordement de tampon de tas dans les composants TabStrip (CVE-2021-21159, CVE-2021-21161) et WebAudio (CVE-2021-21160). Un bug use-after-free de haute gravité (CVE-2021-21162) a été trouvée dans WebRTC.

Il y’a aussi deux autres failles de grande gravité qui sont un problème de vérification insuffisante des données en mode Reader (CVE-2021-21163) et un problème insuffisant de validation des données dans Chrome pour iOS (CVE-2021-21164).

Les mises à jour de sécurité de Google Chrome

Dans la plupart des cas, Chrome se mettra à jour automatiquement, mais les experts en sécurité suggèrent que les utilisateurs vérifient que cela s’est produit. Pour vérifier si une mise à jour est disponible :

  • Les utilisateurs de Google Chrome peuvent aller dans chrome://settings/help en cliquant sur Paramètres > A propos de Chrome
  • Si une mise à jour est disponible Chrome alertera les utilisateurs et commencera le processus de téléchargement
  • Les utilisateurs peuvent redémarrer le navigateur pour compléter la mise à jour

Ces correctifs surviennent après que Google ait mis en garde en Février contre une vulnérabilité zero-day dans son moteur V8 web open-source qui est activement exploité par les attaquants. En Janvier, la Cybersecurity and Infrastructure Security Agency (CISA) a recommandé aux utilisateurs de Windows, macOS et Linux du navigateur Chrome de Google de corriger une faille d’écriture hors limites (CVE-2020-15995) impactant la version actuelle du logiciel 87.0.4280.141.

Et en Décembre, Google a mis à jour Chrome pour corriger quatre bugs avec une cote de gravité « élevé » et huit failles en tout. Trois étaient des failles use-after-free, ce qui pourrait permettre à un adversaire de générer une erreur dans la mémoire du navigateur, ouvrant la porte à un piratage de navigateur et à la compromission de l’ordinateur hôte.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.