Google a confirmé un tout nouveau groupe de vulnérabilités de sécurité d’une gravité alarmante dans Chrome 92, deux semaines seulement après la correction du dernier lot de failles. Ces nouvelles menaces de sécurité signifient qu' »un attaquant pourrait exploiter pour prendre le contrôle d’un système affecté », a déclaré l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA).
En effet, CISA, une agence fédérale autonome sous la supervision du Département américain de la sécurité intérieure (DHS), encourage à la fois les utilisateurs et les administrateurs à « appliquer les mises à jour nécessaires. » Voici ce que les utilisateurs de Google Chrome doivent savoir.
Que savons-nous de ces graves failles de sécurité de Google Chrome ?
Une mise à jour pour la version de bureau de Google Chrome sera déployée pour tous les utilisateurs Windows, Mac et Linux au cours des prochains jours et semaines. Dans un article de blog daté du 16 août, Srinivas Sista, responsable du programme technique de Google Chrome, a confirmé que des neuf mises à jour de sécurité corrigées dans cette mise à jour, sept avec une note élevée avaient été découverts par des chercheurs extérieurs à Google.
L’un de ces pirates était Manfred Paul, qui était responsable de la découverte de deux vulnérabilités de haute gravité : CVE-2021-30598 et CVE-2021-30599. Parler à Semaine de la sécurité, Paul, qui a reçu une prime de 21 000 $ pour chaque faille, a confirmé que même si un attaquant pouvait les utiliser pour obtenir l’exécution de code arbitraire, il devrait exploiter une autre vulnérabilité « pour échapper au bac à sable Chrome ». Cela peut sembler un non-événement, mais en réalité, ce n’est pas le cas.
Il y a seulement quelques semaines, un tel une faille s’échappant du bac à sable dans Chrome a été corrigé par Google.
Si vous avez déjà eu besoin de la confirmation que le piratage n’est pas un crime, ces pirates informatiques vous le fournissent. Alors, arrêtons d’appeler ces personnes qui enfreignent la loi des pirates informatiques et utilisons plutôt la bonne terminologie : des criminels. Quoi qu’il en soit, avec cette très courte diatribe terminée, voici ce que l’on sait des failles de sécurité que ces pirates, les chercheurs en sécurité externes à Google, ont pu trouver.
Il n’est pas du tout surprenant que ce qui est connu est très limité, car les détails spécifiques de chaque vulnérabilité ne sont pas divulgués pour le moment. Il s’agit d’empêcher l’exploitation criminelle avant qu’autant d’utilisateurs puissent appliquer la mise à jour 92.0.4515.159 que possible.
Les sept failles de sécurité de haute gravité ont été confirmées comme ayant les numéros d’identification et les détails d’identification des vulnérabilités et expositions communes (CVE) suivants :
- CVE-2021-30598 est une vulnérabilité de « confusion de type dans V8 » qui a rapporté une prime de 21 000 £.
- CVE-2021-30599 est une autre vulnérabilité de « confusion de type dans V8 » qui a également gagné une prime de 21 000 £.
- CVE-2021-30600 est une vulnérabilité « utilisation après utilisation gratuite dans l’impression » qui a rapporté une prime de 20 000 £.
- CVE-2021-30601 est une vulnérabilité « utilisation après utilisation gratuite dans l’API d’extensions » qui a également rapporté une prime de 20 000 £.
- CVE-2021-30602 est une vulnérabilité « utilisation après gratuit dans WebRTC », et la prime n’a pas encore été déterminée.
- CVE-2021-30603 est une vulnérabilité ‘race in WebAudio’, et une prime de bogue n’était pas applicable dans ce cas.
- CVE-2021-30604 est une vulnérabilité « utilisation après gratuit dans ANGLE », et la prime n’a pas encore été déterminée.
L’une de ces vulnérabilités de sécurité Chrome est-elle déjà exploitée ?
Désolé de décevoir; la réponse doit être encore une fois un peu vague. À ma connaissance, et après avoir posé des questions autour de la communauté de la cybersécurité, il n’y a aucune preuve d’exploitation dans la nature de l’une de ces vulnérabilités. Cependant, cela ne devrait pas être considéré comme une carte sans sortie de prison, car il ne faudra sans doute pas longtemps pour que les exploits émergent à mesure que plus de détails seront à venir. Raison de plus pour ne pas attendre et appliquer la mise à jour de sécurité dès que possible.
Le point de vue de l’expert en sécurité du développement logiciel
« Compte tenu de la complexité de JavaScript et, plus particulièrement, du moteur V8 de Google, les vulnérabilités sont une réalité », a déclaré Sean Wright, responsable de la sécurité des applications pour les PME d’Immersive Labs. « Quand même Google, partisans de la sécurisation des services et des applications, s’attaque à tant de CVE de haut niveau, l’importance d’avoir un cycle de vie de développement logiciel (SDLC) robuste et sécurisé pour prévenir ces vulnérabilités ne peut pas en premier lieu. être exagéré », poursuit Wright.
Bien qu’il conseille que toutes les organisations feraient bien d’avoir un tel SLDC en place, quelle que soit leur taille, Wright ne pense pas que ces dernières découvertes soient nécessairement une mauvaise chose. « Du côté positif, ces résultats montrent la valeur des programmes publics de primes aux bogues », déclare Wright. « C’est vraiment encourageant de voir les problèmes détectés par les chercheurs, divulgués par des moyens éthiques et résolus avec suffisamment de rapidité et d’efficacité pour empêcher l’exploitation malveillante dans la nature », conclut-il.
Bien que Google ait déclaré que la mise à jour de Chrome de bureau commencera à être déployée pour tous les utilisateurs dans les jours et semaines à venir, il n’y a aucune excuse réelle pour rester assis et ne pas être proactif ici. Oui, les mises à jour automatiques sont excellentes et je ne recommande pas de les désactiver ; quelque chose que je sais que certains utilisateurs de Windows 10 ont fait pour empêcher la fermeture automatique de leurs 50 onglets ouverts. Non, je ne vais pas vous dire comment faire cela, mais je vais vous dire comment obtenir la mise à jour plus rapidement en quelques clics.
Cliquez sur un : accédez à Aide|À propos de Google Chrome dans le menu à trois points. Le simple fait de vérifier la version de votre navigateur lancera le processus de mise à jour.
Cliquez deux : une fois la mise à jour téléchargée, redémarrez votre navigateur pour que la protection commence à fonctionner.
Cliquez sur trois : vous pouvez voir que vous utilisez la version mise à jour en revenant au même paramètre une fois de plus.
.