chrome

Google Chrome: De nouvelles failles ont été patché

Google a distribué une mise à jour urgente de son navigateur Google Chrome et recommande à ses utilisateurs sur Windows, Mac et Linux de mettre à niveau leur application vers la dernière version immédiatement.

Sorti la semaine dernière, Google Chrome 77.0.3865.90 contient des patchs de sécurité pour 1 faille critique et 3 à haut-risque. La faille la plus sévère permet à des pirates distants de prendre le contrôle du système affecté.

Google a décidé d’attendre quelques jours avant de donner les détails des quatre vulnérabilités pour empêcher que des pirates les exploitent et donner assez de temps aux utilisateurs pour installer la mise à jour de Google Chrome.

Pour l’instant, l’équipe de sécurité de Google Chrome a seulement révélé que les quatre vulnérabilités sont des problèmes use-after-free dans différents composants du navigateur web, comme mentionné ci-dessous. La faille critique peut mener à des attaques d’exécution de code à distance.

La vulnérabilité use-after-free est un type de problème de corruption de mémoire qui permet la corruption ou la modification des données dans la mémoire, permettant à un utilisateur d’élever ses privilèges sur un système ou logiciel affecté.

Vulnérabilités Patchées par Google Chrome 77.0.3865.90

  • Use-after-free dans l’interface utilisateur (CVE-2019-13685) — Reporté par Khalil Zhani
  • Use-after-free dans média (CVE-2019-13688) — Reporté par Man Yue Mo de l’équipe de sécurité de Semmle
  • Use-after-free dans média (CVE-2019-13687) — Reporté par Man Yue Mo
  • Use-after-free dans les pages hors-lignes (CVE-2019-13686) — Reporté par Brendon Tiszka

Google a récompensé Man Yue Mo avec un total de $40 000 pour les deux vulnérabilités qu’il a trouvé, $20 000 pour CVE-2019-13687 et $20 000 pour CVE-2019-13688. Les récompenses pour les deux autres vulnérabilités n’ont pas encore été décidé.

L’exploitation réussi de ces vulnérabilités permet à un pirate d’exécuter du code arbitraire dans le contexte du navigateur juste en convaincant les victimes d’ouvrir, ou de les rediriger vers, une page web spéciale sur le navigateur Google Chrome affecté, sans nécessité d’interaction.

En se basant sur des cas précédents, la faille use-after-free peut aussi causer des divulgations d’informations sensibles, des contournements de restrictions de sécurité, des actions non-autorisés, et des conditions de déni de service. Tout dépend des privilèges associés à l’application.

google chrome

Bien que Google Chrome fasse les mises à jour automatiquement, il est recommandé aux utilisateurs de vérifier en allant dans “Aide → A propos de Google Chrome” depuis le menu.

Nous vous donnerons plus d’informations sur ces failles de sécurités quand Google partagera les détails techniques.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire