Google Chrome corrige une 7ème faille exploitée par les pirates cette année

0

Google a publié Chrome 91.0.4472.114 pour Windows, Mac et Linux afin de corriger quatre vulnérabilités de sécurité, l’une d’entre elles étant une vulnérabilité zero-day de haute gravité exploitée par les pirates informatiques.

Cette version, publiée le 17 juin 2021, sur le canal de bureau Stable, a commencé à être déployée dans le monde entier et sera disponible pour tous les utilisateurs au cours des prochains jours.

Google Chrome tentera automatiquement de mettre à niveau le navigateur la prochaine fois que vous lancerez le programme, mais vous pouvez effectuer une mise à jour manuelle en accédant à Paramètres > Aide > « À propos de Google Chrome ».

Aucun détail sur les attaques de failles zero-day

« Google est conscient qu’un exploit pour CVE-2021-30554 existe dans la nature », indique l’annonce de la société.

Le zero-day est causé par une faille use-after-free dans l’API JavaScript WebGL (Web Graphics Library) utilisée par les navigateurs Web Chrome pour restituer des graphiques 2D et 3D interactifs sans utiliser de plug-ins.

L’exploitation réussie de cette vulnérabilité pourrait conduire à l’exécution de code arbitraire sur les ordinateurs exécutant des versions de Chrome non corrigées.

Bien que Google affirme être au courant de l’exploitation sauvage de CVE-2021-30554, il n’a pas partagé d’informations concernant ces attaques.

« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré la société.

« Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont dépendent également d’autres projets, mais n’a pas encore été corrigé. »

Google a corrigé trois autres failles use-after-free de gravité élevée dans les composants Partage, WebAudio et TabGroups de Chrome, identifiées sous les noms CVE-2021-30555, CVE-2021-30556 et CVE-2021-30557.

7ème faille zero-day de Chrome exploitée par des pirates cette année

Cette mise à jour corrige la septième vulnérabilité zero-day de Google Chrome exploitée lors d’attaques cette année, les six autres étant répertoriées ci-dessous :

En plus de ces zero-days, Kaspersky a signalé qu’un groupe de pirates informatiques connu sous le nom de Puzzlemaker associait les bugs zero-day de Chrome pour échapper au sandbox du navigateur et installer des logiciels malveillants sur les systèmes Windows.

« Une fois que les attaquants ont utilisé à la fois les exploits Chrome et Windows pour prendre pied dans le système ciblé, le module de mise en scène télécharge et exécute un dropper de malware plus complexe à partir d’un serveur distant », a déclaré Kaspersky.

Project Zero, l’équipe de chasse aux bogues zero-day de Google, a également dévoilé une opération à grande échelle où un groupe de pirates a utilisé 11 zero-days pour attaquer les utilisateurs de Windows, iOS et Android en une seule année.

Laisser un commentaire