Deux semaines après correction d’une vulnérabilité activement exploitée affectant Chrome pour les ordinateurs de bureau, Google élimine un autre bogue du jour zéro dans la version du navigateur pour Windows, macOS et Linux, et publie une mise à jour pour Chrome pour Android qui comble une autre faille de sécurité exploitée dans la nature.

Aujourd’hui, Chrome a corrigé deux autres vulnérabilités qui étaient activement exploitées dans la nature (découvertes par Project Zero / Google TAG la semaine dernière). CVE-2020-16009 est un bogue v8 utilisé pour l’exécution de code à distance, CVE-2020-16010 est un échappement de bac à sable Chrome pour Android. https://t.co/IOhFwT0Wx1

– Ben Hawkes (@benhawkes) 2 novembre 2020

« Google a connaissance de rapports selon lesquels un exploit pour CVE-2020-16009 existe dans la nature » dit le géant de la technologie à propos de la faille nouvellement révélée qui découle d’une implémentation inappropriée dans le moteur JavaScript V8 et affecte les versions de bureau du navigateur.

Le bogue, classé comme très grave, a été découvert par des chercheurs du groupe d’analyse des menaces de Google et du projet Zero. Les détails sur la vulnérabilité sont très rares en raison de la politique de Google qui stipule clairement que «l’accès aux détails du bogue et aux liens peut être limité jusqu’à ce que la majorité des utilisateurs soient mis à jour avec un correctif».

Selon la base de données nationale sur la vulnérabilité, la faille «pourrait permettre à un attaquant d’exploiter potentiellement la corruption du tas via une page HTML spécialement conçue.»

LECTURE CONNEXE: Explication des termes de sécurité: Que signifie Zero Day?

Les utilisateurs feraient bien de mettre à jour leurs navigateurs vers la dernière version (86.0.4240.183) dès que possible. Si les mises à jour automatiques sont activées, votre navigateur doit se mettre à jour de lui-même. Sinon, vous devrez le faire manuellement en accédant à la section À propos de Google Chrome, qui se trouve sous Aide dans le menu latéral.

La mise à jour apporte également des correctifs pour un total de 10 vulnérabilités, Google répertoriant spécifiquement sept failles à haut risque où les correctifs ont été apportés par des chercheurs externes.

La nouvelle fait suite à une autre divulgation par Google d’un zero-day sous Windows qui a été exploité en tandem avec le Chrome zero-day révélé il y a deux semaines.

Bogue Android

Pendant ce temps, Google a également confirmé que la faille affectant Chrome pour Android a également été activement exploitée par des attaquants. Indexé comme CVE-2020-16010 et classée comme étant de gravité élevée, la vulnérabilité est causée par un dépassement de capacité de la mémoire tampon dans l’interface utilisateur (UI) de Chrome pour Android. Cela pourrait permettre à un acteur de menace distant qui a compromis le processus de rendu d’exécuter une évasion de sandbox à l’aide d’une page HTML spécialement conçue.

Vous ne devriez pas attendre la mise à jour vers la dernière version de Chrome pour Android (86.0.4240.185) une fois la mise à jour disponible.