Google Chrome: 2 failles étaient ciblées par des exploits

Les failles des navigateurs Google Chrome pour PC et Android ont été corrigées récemment dans le but d’empêcher les attaques connues utilisées par des pirates informatiques. Deux bulletins de sécurité distincts publiés par Google ont averti qu’ils étaient au courant de rapports selon lesquels des exploits pour les deux existent dans la nature. Le Project Zero de Google est allé plus loin et a affirmé que les deux vulnérabilités étaient activement exploitées.

Dans sa mise à jour du navigateur Chrome pour Windows, Mac et Linux, Google a déclaré que la version 86.0.4240.183 corrige 10 vulnérabilités. Identifiée comme CVE-2020-16009, cette faille est la plus troublante, la plus grave et l’une des deux avec des exploits actifs. La vulnérabilité est liée au moteur Open Source JavaScript et WebAssembly de Google appelé V8. Dans sa divulgation, la faille est décrite comme une «implémentation inappropriée dans V8».

google chrome

Clement Lecigne du groupe d’analyse des menaces de Google et Samuel Gross de Google Project Zero ont découvert la faille de Chrome pour bureau le 29 octobre, selon un article de blog annonçant les correctifs de Prudhvikumar Bommana de l’équipe Google Chrome. Si elle est exploitée, la faille V8 peut être utilisée pour l’exécution de code à distance, selon une analyse distincte de l’équipe de Project Zero.

Quant au navigateur Chrome pour Android, également avec un exploit actif dans la nature, Google a mis en garde contre une faille d’échappement de sandbox (CVE-2020-16010). Cette vulnérabilité est jugée de haute gravité et a créé la possibilité d’une attaque utilisant les conditions de «dépassement de la mémoire tampon du tas dans l’interface utilisateur sous Android». Maddie Stone, Mark Brand et Sergei Glazunov de Google Project Zero sont crédités pour avoir découvert la faille le 31 octobre.

Des failles de Google Chrome « activement exploitées dans la nature »

Google a déclaré qu’ils retenaient les détails techniques des deux failles, en attendant la distribution de correctifs aux points de terminaison concernés. Bien que Google ait déclaré que des exploits publiquement connus existaient pour les deux failles, cela n’indiquait pas que l’un ou l’autre était sous attaque active. Le responsable technique du Project Zero de Google, Ben Hawkes, a tweeté que les deux étaient activement attaqués.

«Aujourd’hui, Chrome a corrigé deux autres vulnérabilités qui étaient activement exploitées dans la nature (découvertes par Project Zero/Google TAG la semaine dernière). CVE-2020-16009 est une faille v8 utilisé pour l’exécution de code à distance, CVE-2020-16010 est une évasion de sandbox pour Chrome sur Android », écrit-il.

Par mesure de précaution, Google a déclaré dans sa mise à jour de sécurité qu’ils «conserveraient également les restrictions si la faille existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais qui n’ont pas encore été corrigés», selon le communiqué.

Les autres failles d’Android

La nouvelle version Android de Chrome inclut également des améliorations de stabilité et de performances, selon l’équipe de Google Chrome.

Les vulnérabilités corrigées dans la mise à jour de la version bureau de Chrome incluaient une faille «use-after-free» (CVE-2020-16004); une faille «d’application insuffisante de la politique dans ANGLE» (CVE-2020-16005); un problème de «validation insuffisante des données dans le programme d’installation» (CVE-2020-16007) et une vulnérabilité de «débordement de la mémoire tampon de la pile dans WebRTC» (CVE-2020-16008). Enfin, Google a signalé un «débordement de mémoire tampon dans l’interface utilisateur sous Windows», identifié comme (CVE-2020-16011).

chrome google

Les mises à jour de Chrome font suite à la faille zero-day signalé et corrigé récemment par Google, qui concernait Chrome sur Windows, Mac et Linux. La faille (CVE-2020-15999), classée à haut risque, est une vulnérabilité dans la bibliothèque de rendu de polices FreeType de Chrome.

Les dernières vulnérabilités signifient qu’en un peu plus de 12 mois, Google a corrigé une série de vulnérabilités graves dans son navigateur Chrome. En plus des trois failles les plus récemment signalées, la première était une vulnérabilité critique d’exécution de code à distance et identifiée comme CVE-2019-13720, et la seconde était un type de faille de confusion de mémoire identifié comme CVE-2020-6418 qui a été corrigé en Février.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x