Google a confirmé un tout nouveau groupe de vulnérabilités de sécurité d’une gravité alarmante dans Chrome 92, deux semaines seulement après la correction du dernier lot de failles. Ces nouvelles menaces de sécurité signifient qu' »un attaquant pourrait exploiter pour prendre le contrôle d’un système affecté », a déclaré l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA).

En effet, CISA, une agence fédérale autonome sous la supervision du Département américain de la sécurité intérieure (DHS), encourage à la fois les utilisateurs et les administrateurs à « appliquer les mises à jour nécessaires. » Voici ce que les utilisateurs de Google Chrome doivent savoir.

Table des matières hide
1 Que savons-nous de ces graves failles de sécurité de Google Chrome ?
2 L’une de ces vulnérabilités de sécurité Chrome est-elle déjà exploitée ?
3 Le point de vue de l’expert en sécurité du développement logiciel
4 Comment mettre à jour votre navigateur Google Chrome

Que savons-nous de ces graves failles de sécurité de Google Chrome ?

Une mise à jour pour la version de bureau de Google Chrome sera déployée pour tous les utilisateurs Windows, Mac et Linux au cours des prochains jours et semaines. Dans un article de blog daté du 16 août, Srinivas Sista, responsable du programme technique de Google Chrome, a confirmé que des neuf mises à jour de sécurité corrigées dans cette mise à jour, sept avec une note élevée avaient été découverts par des chercheurs extérieurs à Google.

PLUS DE FORBESComment les pirates utilisent les LED d’alimentation pour espionner les conversations à 100 pieds de distancePar Davey Winder

L’un de ces pirates était Manfred Paul, qui était responsable de la découverte de deux vulnérabilités de haute gravité : CVE-2021-30598 et CVE-2021-30599. Parler à Semaine de la sécurité, Paul, qui a reçu une prime de 21 000 $ pour chaque faille, a confirmé que même si un attaquant pouvait les utiliser pour obtenir l’exécution de code arbitraire, il devrait exploiter une autre vulnérabilité « pour échapper au bac à sable Chrome ». Cela peut sembler un non-événement, mais en réalité, ce n’est pas le cas.

Publicité

Il y a seulement quelques semaines, un tel une faille s’échappant du bac à sable dans Chrome a été corrigé par Google.

Si vous avez déjà eu besoin de la confirmation que le piratage n’est pas un crime, ces pirates informatiques vous le fournissent. Alors, arrêtons d’appeler ces personnes qui enfreignent la loi des pirates informatiques et utilisons plutôt la bonne terminologie : des criminels. Quoi qu’il en soit, avec cette très courte diatribe terminée, voici ce que l’on sait des failles de sécurité que ces pirates, les chercheurs en sécurité externes à Google, ont pu trouver.

Il n’est pas du tout surprenant que ce qui est connu est très limité, car les détails spécifiques de chaque vulnérabilité ne sont pas divulgués pour le moment. Il s’agit d’empêcher l’exploitation criminelle avant qu’autant d’utilisateurs puissent appliquer la mise à jour 92.0.4515.159 que possible.

PLUS DE FORBESNouveau choc de sécurité de Windows 10 alors que 1 000 vulnérabilités sont révéléesPar Davey Winder

Les sept failles de sécurité de haute gravité ont été confirmées comme ayant les numéros d’identification et les détails d’identification des vulnérabilités et expositions communes (CVE) suivants :

  • CVE-2021-30598 est une vulnérabilité de « confusion de type dans V8 » qui a rapporté une prime de 21 000 £.
  • CVE-2021-30599 est une autre vulnérabilité de « confusion de type dans V8 » qui a également gagné une prime de 21 000 £.
  • CVE-2021-30600 est une vulnérabilité « utilisation après utilisation gratuite dans l’impression » qui a rapporté une prime de 20 000 £.
  • CVE-2021-30601 est une vulnérabilité « utilisation après utilisation gratuite dans l’API d’extensions » qui a également rapporté une prime de 20 000 £.
  • CVE-2021-30602 est une vulnérabilité « utilisation après gratuit dans WebRTC », et la prime n’a pas encore été déterminée.
  • CVE-2021-30603 est une vulnérabilité ‘race in WebAudio’, et une prime de bogue n’était pas applicable dans ce cas.
  • CVE-2021-30604 est une vulnérabilité « utilisation après gratuit dans ANGLE », et la prime n’a pas encore été déterminée.

L’une de ces vulnérabilités de sécurité Chrome est-elle déjà exploitée ?

Désolé de décevoir; la réponse doit être encore une fois un peu vague. À ma connaissance, et après avoir posé des questions autour de la communauté de la cybersécurité, il n’y a aucune preuve d’exploitation dans la nature de l’une de ces vulnérabilités. Cependant, cela ne devrait pas être considéré comme une carte sans sortie de prison, car il ne faudra sans doute pas longtemps pour que les exploits émergent à mesure que plus de détails seront à venir. Raison de plus pour ne pas attendre et appliquer la mise à jour de sécurité dès que possible.

Le point de vue de l’expert en sécurité du développement logiciel

« Compte tenu de la complexité de JavaScript et, plus particulièrement, du moteur V8 de Google, les vulnérabilités sont une réalité », a déclaré Sean Wright, responsable de la sécurité des applications pour les PME d’Immersive Labs. « Quand même Google, partisans de la sécurisation des services et des applications, s’attaque à tant de CVE de haut niveau, l’importance d’avoir un cycle de vie de développement logiciel (SDLC) robuste et sécurisé pour prévenir ces vulnérabilités ne peut pas en premier lieu. être exagéré », poursuit Wright.

Bien qu’il conseille que toutes les organisations feraient bien d’avoir un tel SLDC en place, quelle que soit leur taille, Wright ne pense pas que ces dernières découvertes soient nécessairement une mauvaise chose. « Du côté positif, ces résultats montrent la valeur des programmes publics de primes aux bogues », déclare Wright. « C’est vraiment encourageant de voir les problèmes détectés par les chercheurs, divulgués par des moyens éthiques et résolus avec suffisamment de rapidité et d’efficacité pour empêcher l’exploitation malveillante dans la nature », conclut-il.

Comment mettre à jour votre navigateur Google Chrome

Bien que Google ait déclaré que la mise à jour de Chrome de bureau commencera à être déployée pour tous les utilisateurs dans les jours et semaines à venir, il n’y a aucune excuse réelle pour rester assis et ne pas être proactif ici. Oui, les mises à jour automatiques sont excellentes et je ne recommande pas de les désactiver ; quelque chose que je sais que certains utilisateurs de Windows 10 ont fait pour empêcher la fermeture automatique de leurs 50 onglets ouverts. Non, je ne vais pas vous dire comment faire cela, mais je vais vous dire comment obtenir la mise à jour plus rapidement en quelques clics.

Cliquez sur un : accédez à Aide|À propos de Google Chrome dans le menu à trois points. Le simple fait de vérifier la version de votre navigateur lancera le processus de mise à jour.

Cliquez deux : une fois la mise à jour téléchargée, redémarrez votre navigateur pour que la protection commence à fonctionner.

Cliquez sur trois : vous pouvez voir que vous utilisez la version mise à jour en revenant au même paramètre une fois de plus.

.

Rate this post
Publicité
Article précédentDéfis de la semaine 11 de Fortnite – GameSpot
Article suivantSpotlight MEA : le PDG d’Evai sur le marché des crypto-monnaies
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici