Google Chrome corrige une seconde faille zero-day activement exploitée ce mois-ci

0

Google a corrigé une deuxième faille zero-day de Chrome qui est activement exploitée ce mois-ci avec la sortie de Chrome 89.0.4389.90 sur le canal Stable pour les utilisateurs de Windows, Mac et Linux.

« Google est au courant des rapports selon lesquels un exploit pour CVE-2021-21193 existe dans la nature », peut-on lire dans le communiqué.

Aucun détails concernant des attaques courantes

La faille zero-day identifiée comme CVE-2021-21193 est évaluée par Google comme une vulnérabilité de gravité élevée et a été signalée par un chercheur anonyme.

Google le décrit comme un bug use-after-free dans Blink, un moteur de rendu de navigateur open-source développé par le projet Chrome avec des contributions de Google, Facebook, Microsoft, et d’autres.

Une exploitation réussie de cette faille zero-day pourrait conduire à une exécution arbitraire du code sur les systèmes exécutant des versions vulnérables de Chrome.

Même si Google affirme être au courant de l’exploitation active de CVE-2021-21193, ils n’ont pas partagé d’informations concernant ces attaques en cours.

« L’accès aux détails des failles et des liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google.

« Nous conserverons également des restrictions si la faille existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais qui n’ont pas encore été corrigés. »

Jusqu’à ce que plus d’informations soient disponibles, les utilisateurs de Chrome devraient avoir plus de temps pour installer la mise à jour de sécurité qui sera appliquée au cours des prochains jours afin d’éviter les tentatives d’exploitation.

Le manque d’informations supplémentaires empêchera également d’autres pirates informatiques de développer leurs propres exploits ciblant cette vulnérabilité.

La troisième faille zero day de Chrome cette année

Un autre bug zero-day (CVE-2021-21166) exploité dans la nature et décrit comme un « problème de cycle de vie objet en audio » a été abordé avec la sortie de Chrome 89.0.4389.72 dont le déploiement a commencé le 2 Mars.

L’autre faille zero-day de Chrome qui est activement exploitée est un bug de débordement tampon dans V8 identifié comme CVE-2021-2114 et classé comme étant de haute gravité. Ce bug a été corrigé en Février.

L’année dernière, Google a patché 5 failles zero-day de Chrome en un seul mois, entre le 20 Octobre et le 12 Novembre, tous étant également activement utilisés dans les attaques.

La nouvelle version de Chrome s’attaque à quatre autres vulnérabilités, dont deux ont été signalées par des chercheurs externes :

  • [1167357] Haute gravité CVE-2021-21191: Use after free dans WebRTC. Signalé par raven (@raid_akame) le 15 Janvier 2021
  • [1181387] Haute gravité CVE-2021-21192: Débordement de tampon de tas dans les groupes d’onglets. Signalé par Abdulrahman Alqabandi de Microsoft Browser Vulnerability Research le 23 Février 2021.
Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.