Les mises à jour font suite aux nouvelles d’attaques exploitant un autre jour zéro dans Chrome en tandem avec une faille Windows jusque-là inconnue

Deux semaines après correction d’une vulnérabilité activement exploitée affectant Chrome pour les ordinateurs de bureau, Google élimine un autre bogue du jour zéro dans la version du navigateur pour Windows, macOS et Linux, et publie une mise à jour pour Chrome pour Android qui comble une autre faille de sécurité exploitée dans la nature.

« Google a connaissance de rapports selon lesquels un exploit pour CVE-2020-16009 existe dans la nature » dit le géant de la technologie à propos de la faille nouvellement révélée qui découle d’une implémentation inappropriée dans le moteur JavaScript V8 et affecte les versions de bureau du navigateur.

Le bogue, classé comme très grave, a été découvert par des chercheurs du groupe d’analyse des menaces de Google et du projet Zero. Les détails sur la vulnérabilité sont très rares en raison de la politique de Google qui stipule clairement que «l’accès aux détails du bogue et aux liens peut être limité jusqu’à ce que la majorité des utilisateurs soient mis à jour avec un correctif».

Selon la base de données nationale sur la vulnérabilité, la faille «pourrait permettre à un attaquant d’exploiter potentiellement la corruption du tas via une page HTML spécialement conçue.»

Publicité

LECTURE CONNEXE: Explication des termes de sécurité: Que signifie Zero Day?

Les utilisateurs feraient bien de mettre à jour leurs navigateurs vers la dernière version (86.0.4240.183) dès que possible. Si les mises à jour automatiques sont activées, votre navigateur doit se mettre à jour de lui-même. Sinon, vous devrez le faire manuellement en accédant à la section À propos de Google Chrome, qui se trouve sous Aide dans le menu latéral.

La mise à jour apporte également des correctifs pour un total de 10 vulnérabilités, Google répertoriant spécifiquement sept failles à haut risque où les correctifs ont été apportés par des chercheurs externes.

La nouvelle fait suite à une autre divulgation par Google d’un zero-day sous Windows qui a été exploité en tandem avec le Chrome zero-day révélé il y a deux semaines.

Bogue Android

Pendant ce temps, Google a également confirmé que la faille affectant Chrome pour Android a également été activement exploitée par des attaquants. Indexé comme CVE-2020-16010 et classée comme étant de gravité élevée, la vulnérabilité est causée par un dépassement de capacité de la mémoire tampon dans l’interface utilisateur (UI) de Chrome pour Android. Cela pourrait permettre à un acteur de menace distant qui a compromis le processus de rendu d’exécuter une évasion de sandbox à l’aide d’une page HTML spécialement conçue.

Vous ne devriez pas attendre la mise à jour vers la dernière version de Chrome pour Android (86.0.4240.185) une fois la mise à jour disponible.


Rate this post
Publicité
Article précédentMicrosoft supprime progressivement les connexions vocales P2P du chat de groupe Xbox pour renforcer la sécurité • Fr.techtribune
Article suivantTeen Anime Day prévu pour plus tard ce mois-ci
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici