Les 2,6 milliards d’utilisateurs de Chrome doivent à nouveau être en état d’alerte élevé (pour la deuxième fois en une semaine), car Google a confirmé plusieurs nouveaux hacks de haut niveau du navigateur.
Quatre menaces de niveau « élevé » ont été trouvées dans Google Chrome
LIGHTROCKET VIA GETTY IMAGES
À venir quelques jours après Chrome 12e et 13e exploits « jour zéro » de l’année ont été découverts, Google a publié un nouvel article de blog révélant que quatre vulnérabilités classées « élevées » ont été confirmées. Et les utilisateurs doivent prendre des mesures immédiates.
Comme c’est la pratique courante, Google restreint actuellement les informations sur ces piratages afin de gagner du temps pour que les utilisateurs de Chrome se mettent à niveau. Par conséquent, nous n’avons que les informations suivantes pour continuer:
- Haute – CVE-2021-37977 : Utiliser après gratuit dans la collecte des ordures ménagères. Signalé par Anonyme le 2021-09-24
- Haute – CVE-2021-37978 : débordement de la mémoire tampon dans Blink. Rapporté par Yangkang (@dnpushme) de 360 ATA le 2021-08-04
- Haute – CVE-2021-37979 : débordement de la mémoire tampon dans WebRTC. Rapporté par Marcin Towalski de Cisco Talos le 2021-09-07
- Haute – CVE-2021-37980 : Implémentation inappropriée dans Sandbox. Rapporté par Yonghwi Jin (@jinmo123) le 2021-09-30
Bien que nous n’apprenions pas grand-chose de ces descriptions, il est intéressant de voir que Chrome continue d’être ciblé par « Use-After-Free » (UAF) exploits. Le navigateur a été touché par attaques UAF à deux chiffres en septembre et des pirates ont déjà exploité un faille UAF zero-day dans Chrome ce mois-ci, avant la dernière découverte.
L’inscription d’une paire de Débordement de la mémoire tampon exploits est moins attendu. Comme les attaques UAF, il s’agit d’une vulnérabilité de la mémoire (également connue sous le nom de Heap Smashing), mais cela n’a pas été une avenue régulière pour les piratages Chrome ces derniers mois. La mémoire sur le tas est allouée dynamiquement et contient généralement des données de programme. Avec un débordement, les structures de données critiques peuvent être écrasées, ce qui en fait une cible idéale pour les attaques.
En réponse, Google a publié une mise à jour critique. La société avertit les utilisateurs de Chrome que le déploiement sera échelonné, de sorte que tout le monde ne pourra pas se protéger immédiatement. Pour vérifier si vous êtes protégé, accédez à Paramètres > Aide > À propos de Google Chrome. Si votre version de Chrome est 94.0.4606.81 ou supérieure, vous êtes en sécurité. Si la mise à jour n’est pas encore disponible pour votre navigateur, assurez-vous de vérifier régulièrement la nouvelle version.
Pour plus de sécurité, Chrome doit être redémarré après la mise à jour
Et une fois la mise à jour effectuée, n’oubliez pas la dernière étape cruciale : Chrome n’est pas sûr tant qu’il n’a pas été redémarré. Ce qui en fait un processus à double sens. Google peut accélérer les correctifs pour les piratages de Chrome, mais à moins que les utilisateurs ne redémarrent leur navigateur après la mise à jour, ils ne seront pas protégés. Ce faux sentiment de sécurité est une chose sur laquelle les pirates comptent. Allez vérifier votre navigateur maintenant.
___
Suivez Gordon sur Facebook
Plus sur Forbes
Google confirme les 12e et 13e hacks Zero-Day de Chrome en 2021
Google confirme 5 nouvelles failles de sécurité de haut niveau dans Chrome
.
