Google a corrigé deux nouvelles vulnérabilités zero-day dans son navigateur Web Chrome, portant à cinq le nombre de correctifs pour les bogues activement exploités dans le navigateur au cours des trois dernières semaines.

« Google a connaissance de rapports selon lesquels des exploits pour CVE-2020-16013 et CVE-2020-16017 existent dans la nature, » dit Google sur les vulnérabilités affectant les versions Windows, macOS et Linux du navigateur. Les détails sur les failles de sécurité restent rares, bien que le géant de la technologie ait révélé que les deux sont classés comme étant de haute gravité et ont été signalés par des chercheurs externes qui souhaitent rester anonymes.

L’un des défauts (CVE-2020-16013) est causée par une implémentation inappropriée dans le moteur JavaScript V8, alors que l’autre faille de sécurité (CVE-2020-16017) est une faille de corruption de mémoire d’utilisation après libre située dans Isolation du site, une fonctionnalité de sécurité Chrome qui isole les sites Web dans des bacs à sable, limitant leur interaction les uns avec les autres.

Les utilisateurs seraient bien avisés de mettre à jour leur navigateur vers la dernière version (86.0.4240.198) dès que possible. Si les mises à jour automatiques sont activées, votre navigateur doit se mettre à jour de lui-même. Sinon, vous devrez le faire manuellement en accédant à la section À propos de Google Chrome, qui se trouve sous Aide dans le menu latéral.

Une récolte exceptionnelle de patchs

Ce fut une saison exceptionnellement chargée pour les divulgations du jour zéro. En octobre, Google patché un bug zero-day activement exploité et indexé comme CVE-2020-15999 et affectant FreeType, une bibliothèque de logiciels largement utilisée qui est également un composant Chrome. La faille était exploitée dans le cadre d’une chaîne avec un Bogue du jour zéro de Windows suivi comme CVE-2020-17087 et résidant dans le pilote de cryptographie du noyau, que le géant de Redmond corrigé dans le cadre du Patch Tuesday cette semaine.

Au début du mois, Google a publié une autre mise à jour de Chrome, corrigeant cette fois deux bugs zero-day. Le premier, CVE-2020-16009, a été trouvé pour affecter la version de bureau de son navigateur et a également été causé par une implémentation inappropriée dans V8. Le deuxième bug, indexé comme CVE-2020-16010, a eu un impact sur la version Android du navigateur et découlait d’un débordement de mémoire tampon dans l’interface utilisateur.

En quelques jours, Apple a publié ses propres mises à jour pour résoudre trois bogues dans iOS sous attaque active. Ces vulnérabilités, ainsi que les plus anciennes dans Chrome et Windows, ont toutes été découvertes par l’équipe Project Zero de Google.