Google a patché un bug 0-day dans le navigateur Chrome

Google a déployé une mise à jour de son navigateur Chrome qui corrige une vulnérabilité zero-day dans la bibliothèque de rendu de polices FreeType du logiciel qui était activement exploitée dans la nature.

Le chercheur en sécurité Sergei Glazunov de Google Project Zero a découvert la vulnérabilité qui est classé comme un type de faille de corruption de mémoire appelé débordement de tampon de tas dans FreeType. Glazunov a informé Google de la vulnérabilité le 19 Octobre. Project Zero est une équipe de sécurité interne de l’entreprise dont l’objectif est de trouver des vulnérabilités zero-day.

google chrome

Le 20 Octobre, Google avait déjà déployé une mise à jour stable, Chrome version 86.0.4240.111, qui applique cinq correctifs de sécurité pour Windows, Mac et Linux – parmi lesquels un correctif pour le zero-day, qui est identifié comme CVE-2020-15999 et est considéré comme ayant un risque élevé.

« Google est au courant des rapports selon lesquels un exploit pour CVE-2020-15999 existe dans la nature », a écrit Prudhvikumar Bommana de l’équipe Google Chrome dans un article de blog annonçant la mise à jour. Google n’a pas révélé plus de détails sur les attaques actives observées par les chercheurs.

Andrew R. Whalley, membre de l’équipe de sécurité de Chrome, a félicité son équipe sur Twitter pour la réponse «ultra-rapide» au zero-day.

Pourtant, Ben Hawkes, responsable technique de l’équipe Project Zero, a averti que si les chercheurs de Google n’ont observé que l’exploit Chrome, il est possible que d’autres implémentations de FreeType soient également vulnérables puisque Google a été si rapide dans sa réponse à la vulnérabilité. Il a référé les utilisateurs à un correctif de Glazunov publié sur la page du projet FreeType et leur a demandé de mettre à jour d’autres logiciels potentiellement vulnérables.

« Le correctif est également dans la version stable d’aujourd’hui de FreeType 2.10.4 », a tweeté Hawkes.

Pendant ce temps, les chercheurs en sécurité se sont tournés vers Twitter pour encourager les gens à mettre à jour immédiatement leur navigateur Chrome afin d’éviter d’être victime d’attaquants qui essayent d’exploiter la faille.

« Assurez-vous de mettre à jour votre navigateur Chrome aujourd’hui! (redémarrez-le!) », a tweeté Sam Stepanyan, consultant en sécurité des applications basé à Londres.

En plus du zéro-day de FreeType, Google a corrigé quatre autres failles – trois à haut risque et une à risque moyen – dans la mise à jour de Chrome distribuée la semaine dernière.

google chrome

Les vulnérabilités à haut risque sont: CVE-2020-16000, décrite comme «une mise en œuvre inappropriée dans Blink»; CVE-2020-16001, décrit comme «use-after-free dans les médias»; et CVE-2020-16002, décrit comme «use-after-free dans PDFium», selon le billet de blog. La faille à risque moyen est identifiée comme CVE-2020-16003, décrit comme «use-after-free en impression», a écrit Bommana.

Google multiplie les patchs dans Chrome cette année

Jusqu’à présent, au cours des 12 derniers mois, Google a corrigé trois vulnérabilités zero-day dans son navigateur Chrome. Avant la divulgation de FreeType cette semaine, la première était une vulnérabilité critique d’exécution de code à distance corrigée et identifiée comme CVE-2019-13720, et la seconde était un type de faille de confusion de mémoire identifiée comme CVE-2020-6418 qui a été corrigée au mois de Février.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x