Google corrige la 8ème faille zero-day de Chrome exploitée cette année

0

Google a déployé Chrome 91.0.4472.164 pour Windows, Mac et Linux afin de corriger sept vulnérabilités de sécurité, dont une vulnérabilité zero-day de haute gravité exploitée à l’état sauvage.

« Google est au courant de rapports selon lesquels un exploit pour CVE-2021-30563 existe dans la nature », a révélé la société.

La nouvelle version de Chrome a commencé à être déployée dans le monde entier sur le canal de bureau Stable et sera disponible pour tous les utilisateurs dans les jours suivants.

Google Chrome se mettra automatiquement à jour au prochain lancement, mais vous pouvez également le mettre à jour manuellement en recherchant la nouvelle version dans Paramètres > Aide > « À propos de Google Chrome ».

Huitième faille zero-day exploitée et corrigée cette année

La faille zero-day corrigée et rapportée par Sergei Glazunov de Google Project Zero est décrit comme un bug de confusion de type dans V8, le moteur WebAssembly et JavaScript hautes performances basé sur C++ de Google.

Même si les faiblesses de confusion de type entraîneraient généralement des plantages du navigateur après une exploitation réussie par la lecture ou l’écriture de mémoire en dehors des limites du tampon, elles peuvent également être exploitées par des individus malveillants pour exécuter du code arbitraire sur des appareils exécutant des logiciels vulnérables.

google chrome

Bien que Google ait déclaré qu’ils étaient au courant de l’exploitation sauvage de CVE-2021-30563, ils n’ont pas partagé d’informations concernant ces attaques pour permettre à la mise à jour de sécurité de se déployer sur autant de systèmes que possible avant que davantage de pirates informatiques ne commencent à l’abuser activement.

« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google.

« Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’a pas encore été corrigé. »

Au total, Google a corrigé huit bugs zero-day de Chrome exploités par des pirates informatiques dans la nature depuis le début de 2021. Outre CVE-2021-30563, la société a précédemment résolu :

Plus de détails sur les failles zero-days de Chrome précédemment corrigés

Le groupe d’analyse des menaces de Google (TAG) a partagé des détails supplémentaires plus tôt la semaine dernière concernant l’exploitation dans la nature des failles zero-day CVE-2021-21166 et CVE-2021-30551 de Chrome.

« En se basant sur notre analyse, nous évaluons que les exploits Chrome et Internet Explorer décrits ici ont été développés et vendus par le même fournisseur fournissant des capacités de surveillance aux clients du monde entier », a déclaré Google.

Microsoft et Citizen Lab ont fait le lien avec le fournisseur mentionné dans le rapport de Google TAG au fournisseur israélien de logiciels espions Candiru.

Les pirates informatiques ont déployé le logiciel espion du fournisseur de surveillance pour infecter les appareils iOS, Android, macOS et Windows à l’aide des failles zero-day non-corrigées de Chrome et Windows.

Des chercheurs de Microsoft ont découvert que le logiciel malveillant Candiru était utilisé pour compromettre les systèmes de « politiciens, militants des droits de l’homme, journalistes, universitaires, employés d’ambassade et dissidents politiques ».

Au total, Microsoft a déclaré avoir découvert « au moins 100 victimes en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, au Royaume-Uni, en Turquie, en Arménie et à Singapour ».

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire