Google a patché 8 failles de sécurité dans Chrome

Google a mis à jour son navigateur Web Chrome en corrigeant quatre vulnérabilités de gravité «élevée» et huit failles de sécurité au total. Trois sont des failles use-after-free, qui pourraient permettre à un pirate informatique de générer une erreur dans la mémoire du navigateur, ouvrant la porte à un piratage du navigateur et à un compromis sur l’ordinateur hôte.

La Cybersecurity and Infrastructure Security Agency (CISA) a publié un bulletin de sécurité recommandant aux utilisateurs et aux administrateurs d’appliquer la mise à jour. L’agence a averti que les vulnérabilités peuvent être utilisées par un attaquant «pour prendre le contrôle d’un système affecté».

google chrome

Selon le bulletin de sécurité de Google du mois de Décembre, les versions précédentes de Windows, macOS et Linux du navigateur Chrome sont vulnérables aux attaques. La version 87.0.4280.88 de Chrome corrige les failles de sécurité et “se déploiera au cours des prochains jours/semaines”, a écrit Google.

Comment mettre à jour manuellement votre navigateur Chrome?

Pour mettre à jour manuellement votre navigateur Chrome, accédez au menu déroulant de personnalisation de Chrome dans le coin supérieur droit. Dans ce menu, sélectionnez “Aide”, puis “À propos de Google Chrome”. L’ouverture de cet élément de menu déclenche automatiquement la recherche de mises à jour par Chrome.

Les détails liés à chacune des vulnérabilités ne sont pas publiés pour le moment, a déclaré Google, “jusqu’à ce que la majorité des utilisateurs soient mis à jour avec un correctif.” Il a également noté que lorsque et si des failles existent dans des bibliothèques de codes tiers utilisées dans d’autres appareils ou plates-formes, les détails techniques des failles de sécurité seront limités.

Détails de bug

Trois failles de gravité élevée incluent chacun des éléments use-after-free ayant un impact sur la mémoire, liés au presse-papiers, aux supports et aux extensions de Chrome. Les vulnérabilités sont identifiées comme CVE-2020-16037, CVE-2020-16038 et CVE-2020-16039.

Le quatrième faille de haute gravité (CVE-2020-16040) affecte le moteur JavaScript et WebAssembly open source et hautes performances de Google, appelé V8. La vulnérabilité est identifiée comme une faille de validation insuffisante des données, qui, dans certains cas, ouvre des cibles aux attaques de script inter-sites.

Le moteur JavaScript V8 de Google a également reçu un deuxième correctif ce mois-ci – l’une des deux failles de gravité moyenne signalés en Décembre. Identifiée sous la référence CVE-2020-16042, ce problème est identifié comme une faille «d’utilisation non initialisée» affectant V8. Le bulletin de Google ne précise pas la nature exacte de la faille. Mais les chercheurs en cybersécurité ont décrit ces types de failles d’utilisation non initialisée comme «largement ignorés» et souvent «considérés comme des erreurs de mémoire insignifiantes».

«[Ceux-ci] sont en fait un vecteur d’attaque critique qui peut être exploité de manière fiable par les pirates pour lancer des attaques par élévation de privilèges dans le noyau Linux», selon une étude de 2017 publiée par le Georgia Institute of Technology.

google chrome

La deuxième faille de gravité moyenne (CVE-2020-16041) est une vulnérabilité de «lecture hors limites dans le réseau». Cela pourrait permettre à un adversaire d’accéder de manière incorrecte aux objets en mémoire. Bien que les détails techniques du CVE soient également dissimulés, ce type de vulnérabilité pourrait permettre à un adversaire non authentifié d’envoyer un message mal formé à un logiciel vulnérable. En raison d’une validation insuffisante du message, le programme ciblé pourrait être forcé de planter.

Google a crédité plusieurs chercheurs en sécurité qui ont contribué à identifier les failles de ce mois-ci. Ryoya Tsukasaki a été remercié pour avoir trouvé la faille use-after-free (CVE-2020-16037) dans le presse-papiers Chrome, le chercheur a été récompensé par une prime de 5000 $. Khalil Zhani, Lucas Pinheiro, Sergei Glazunov, André Bargull et Mark Brand ont également été crédités pour leurs efforts de chasse aux vulnérabilités.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires