Google Chrome: 2 failles zero-day exploitées activement

Google demande aux utilisateurs du navigateur Chrome de se préparer à mettre à jour leurs navigateurs, car deux autres vulnérabilités zero-day ont été identifiées dans le logiciel. Les deux failles permettent à un attaquant distant non authentifié de compromettre un système affecté via le Web. Et les deux sont activement exploités par des pirates informatiques, selon Google.

Cette divulgation porte à cinq le nombre total de failles activement exploitées trouvées dans Google Chrome au cours des trois dernières semaines.

Une mise à jour stable, 86.0.4240.198 pour Windows, Mac et Linux, a été déployée et sera déployée « au cours des prochains jours et semaines », a déclaré Prudhvikumar Bommana de Google Chrome dans un article de blog. La mise à jour corrigera les deux failles zero-day, identifiées sous les noms CVE-2020-16013 et CVE-2020-16017.

Les deux ont une gravité «élevée», se classant à 8,4 sur 10 sur l’échelle CVSS et ont été signalés par une source anonyme.

google chrome

CVE-2020-16017 est décrite par Google comme une faille «use-after-free dans l’isolement de site», qui est le composant Chrome qui isole les données de différents sites les uns des autres.

Pour l’exploiter, un attaquant distant peut créer une page Web spéciale, inciter la victime à la visiter, déclencher une erreur use-after-free et exécuter du code arbitraire sur le système cible, selon des chercheurs de la société tchèque Cybersecurity Help.

CVE-2020-16013 quant à lui, est une faille de «vérification de sécurité mal implémentée pour le standard», qui est un type de faille où le logiciel n’implémente pas ou implémente de manière incorrecte une ou plusieurs vérifications liées à la sécurité. Dans ce cas particulier, Google a décrit la vulnérabilité comme une «implémentation inappropriée dans V8», qui est un composant open-source de Chrome qui gère JavaScript et WebAssembly.

Pour l’exploiter, un attaquant distant peut également créer une page Web spéciale, inciter la victime à la visiter et ensuite être en mesure de compromettre le système, a noté Cybersecurity Help.

google play

Une autre faille zero-day que Google a corrigé plus tôt ce mois-ci, CVE-2020-16009, était également dû à une mise en œuvre inappropriée de V8, mais on ne sait pas si les deux failles sont liées. Google s’abstient généralement de fournir des détails spécifiques sur les vulnérabilités pendant un certain temps après qu’elles soient corrigées.

La dernière vague de correctifs de failles zero-day de Chrome a commencé le 19 octobre, lorsque le chercheur en sécurité Sergei Glazunov de Google Project Zero a découvert un type de faille de corruption de mémoire appelée débordement de mémoire tampon dans FreeType qui était activement exploitée. Google a corrigé la vulnérabilité deux jours plus tard.

Ensuite, plus récemment, Google a corrigé deux failles zero-day distinctes dans les navigateurs Chrome sur PC et Android. La faille de PC est la vulnérabilité V8 susmentionnée, qui pourrait être utilisée pour l’exécution de code à distance et a été découverte par des chercheurs du groupe d’analyse des menaces de Google et Google Project Zero. La faille d’Android, également exploitée activement, est une faille d’échappement de sandbox qui a provoqué la possibilité d’une attaque basée sur le débordement de mémoire tampon dans l’interface utilisateur pour Android, a déclaré la société.

Google et les autres géants de la technologie

Ces problèmes de sécurité de Google font suite à plusieurs autres vulnérabilités zero-days récemment corrigés chez Apple et Windows.

En effet, les cybercriminels sont en en phase offensive ces derniers temps pour cibler les failles non corrigées des logiciels omniprésents créés par les trois géants de la technologie, poussant les chercheurs en sécurité à rester sur leurs gardes et forçant les entreprises à déployer des mises à jour à la volée pour que leurs systèmes soient à jour.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x