Il est temps de mettre à jour Chrome et une fois de plus, pour le troisième mois consécutif, Google a corrigé deux bogues « zéro jour » auparavant inconnus dans le navigateur de bureau le plus populaire au monde.
Google a révélé qu’il avait corrigé les deux failles zero-day de haute gravité dans les notes de version pour la version stable de Chrome version 95.0.4638.69 pour Windows, Mac et Linux. Tout numéro de version supérieur à celui aura les correctifs.
C’est une bonne idée de vérifier La page d’assistance de Google pour les mises à jour de Chrome, qui explique comment Chrome peut être configuré pour se mettre à jour automatiquement lorsque des correctifs sont disponibles. Sinon, Chrome dispose d’un bouton « Mettre à jour » de couleur rouge si une mise à jour date d’au moins une semaine, indiquant qu’elle doit être installée.
VOIR: Ce nouveau ransomware crypte vos données et crée également de vilaines menaces
Les deux failles zero-day – qui sont actuellement exploitées par des attaquants – sont suivies avec les identifiants CVE-2021-38000 et CVE-2021-38003. Les deux ont été trouvés par le groupe d’analyse des menaces (TAG) de Google, qui suit les activités d’exploitation parrainées par l’État et les cybercriminels.
Le deuxième des deux zero-days a également été rapporté par Samuel Groß de Google Project Zero le 26 octobre, indiquant à quelle vitesse Google réagit aux découvertes zero-day.
CVE-2021-38000 est un défaut de conception dû à une « validation insuffisante d’entrées non fiables dans les intentions ». Il a été signalé par TAG le 15 septembre.
CVE-2021-38003 — une faille de corruption de mémoire, selon le tracker zero-day de Google Project Zero — est vaguement décrit comme « une implémentation inappropriée dans V8 ». V8 est Le puissant moteur JavaScript de Chrome que Groß espère renforcer avec des protections supplémentaires pour le bac à sable. Comme il noté dans sa proposition, les bogues V8 permettent aux attaquants de créer des « exploits exceptionnellement puissants » qui sont difficiles à atténuer avec les technologies de sécurité existantes.
« Google est conscient que des exploits pour CVE-2021-38000 et CVE-2021-38003 existent dans la nature », Google a dit dans les notes de version. La mise à jour sera déployée au cours des prochains jours ou semaines, selon Google.
Il existe huit correctifs de sécurité, principalement liés à la mémoire, dans cette mise à jour de Chrome. Les défauts de gravité élevée actuellement répertoriés comprennent un utilisation-après-gratuit dans la connexion, une autre utilisation après utilisation gratuite dans la collecte des ordures de Chrome, une validation des données insuffisante dans la page Nouvel onglet de Chrome, une confusion de type dans V8 et une utilisation après utilisation gratuite dans Web Transport.
Cette version de Chrome marque la 14e faille zero-day que Google a corrigée dans Chrome cette année. Les Le 10 était à la mi-septembre quand il a patché deux zero-days. Il a patché deux plus de zero-days fin septembre et deux autres jeudi.
Google n’a attribué les exploits à aucun groupe de piratage.
Le fait que Google ait corrigé un nombre inhabituellement élevé de failles zero-day dans Chrome en 2021 pourrait être interprété de plusieurs manières. Plus ils sont découverts et plus ils sont corrigés rapidement via des mises à jour, c’est bon pour les utilisateurs finaux. Une fois patché, l’exploit a moins de valeur. Cela pourrait signifier que les défenseurs s’améliorent pour repérer les jours zéro.
D’un autre côté, Google Project Zero a vu un augmentation en zero-day affectant les principales plates-formes telles que Chrome, Windows et iOS au cours de la dernière année. La raison en est peut-être la commercialisation du marché des exploits zero-day, offrant un raccourci vers l’acquisition d’exploits qui nécessitent autrement des compétences pour se développer.
