Google corrige le 6ème zero-day de Chrome exploité dans la nature cette année

0

Google a publié Chrome 91.0.4472.101 pour Windows, Mac et Linux pour corriger 14 failles de sécurité, avec une vulnérabilité zero-day exploitée dans la nature et identifiée comme CVE-2021-30551.

Chrome 91.0.4472.101 a commencé à être déployé dans le monde entier et est disponible pour tous les utilisateurs.

Chrome tentera automatiquement de mettre à niveau le navigateur la prochaine fois que vous lancerez le programme, mais vous pouvez effectuer une mise à jour manuelle en accédant à Paramètres > Aide > À propos de Google Chrome.

google chrome

Six zero-days de Google Chrome exploitées dans la nature en 2021

Peu de détails concernant la vulnérabilité zero-day corrigée sont actuellement disponibles, à part le fait qu’il s’agit d’un bogue de confusion de type dans V8, le moteur open source C++ WebAssembly et JavaScript de Google.

La vulnérabilité a été découverte par Sergei Glazunov de Google Project Zero et est identifiée sous le nom de CVE-2021-30551.

Google déclare qu’ils sont « conscients qu’un exploit pour CVE-2021-30551 existe dans la nature ».

Shane Huntley, directeur du groupe d’analyse des menaces de Google, déclare que ce zero-day a été utilisé par les mêmes pirates informatiques utilisant le zero-day CVE-2021-33742 de Windows corrigé récemment par Microsoft.

La mise à jour corrige le sixième zero-day de Chrome exploité lors d’attaques cette année, les cinq autres étant répertoriés ci-dessous :

En plus de ces vulnérabilités, il a été révélé qu’un groupe de cybercriminels connu sous le nom de Puzzlemaker associe les failles zero-day de Chrome pour échapper au sandbox du navigateur et installer des logiciels malveillants dans Windows.

« Une fois que les hackers ont utilisé à la fois les exploits Chrome et Windows pour prendre pied dans le système ciblé, le module de mise en scène télécharge et exécute un dropper de malware plus complexe à partir d’un serveur distant », ont déclaré les chercheurs.

Microsoft a corrigé les vulnérabilités de Windows récemment dans le cadre du Patch Tuesday de Juin 2021, mais Kaspersky n’a pas pu déterminer quelles vulnérabilités de Google Chrome ont été utilisées dans les attaques Puzzlemaker.

Kaspersky pense que les attaquants ont peut-être utilisé la vulnérabilité CVE-2021-21224 de Google Chrome, mais n’ont pas exclu l’utilisation d’autres vulnérabilités zero-day de Chrome non divulguées.

Laisser un commentaire