Google a publié Chrome 95.0.4638.69 pour Windows, Mac et Linux afin de corriger deux vulnérabilités zero-day que les attaquants ont activement exploitées.
« Google est conscient que des exploits pour CVE-2021-38000 et CVE-2021-38003 existent dans la nature », a révélé Google dans le liste des correctifs de sécurité dans la version Google Chrome d’aujourd’hui.
Alors que Google déclare que la nouvelle version peut prendre un certain temps pour atteindre tout le monde, la mise à jour a déjà commencé à déployer Chrome 95.0.4638.69 pour les utilisateurs du monde entier dans le canal Stable Desktop.
Pour installer la mise à jour Chrome immédiatement, accédez à Menu Chrome > Aider > À propos de Google Chrome, et le navigateur commencera à effectuer la mise à jour.
Google Chrome vérifiera également les mises à jour disponibles et les installera la prochaine fois que vous lancerez le navigateur Web.
Les détails des attaques zero-day ne sont pas divulgués
Cette version de Chrome corrige un total de sept vulnérabilités, dont deux étant des vulnérabilités zero-day dont on sait qu’elles ont été exploitées à l’état sauvage.
Le premier zero-day, suivi comme CVE-2021-38000, est décrit comme une « validation insuffisante des entrées non fiables dans les intentions » et a reçu un niveau de gravité élevé. Cette vulnérabilité a été découverte par Clement Lecigne, Neel Mehta et Maddie Stone de Google Threat Analysis Group le 15 septembre 2021.
Le deuxième jour zéro, suivi comme CVE-2021-38003, est un bogue « Implémentation inappropriée » de gravité élevée dans le moteur JavaScript Chrome V8. Cette vulnérabilité a également été découverte par Lecigne et signalée le 24 octobre.
Pour le moment, Google ou les chercheurs n’ont pas fourni plus de détails sur la façon dont les acteurs de la menace ont utilisé les vulnérabilités dans les attaques. Cependant, comme Google a découvert les vulnérabilités, nous pourrions en apprendre davantage dans les futurs rapports de Google TAG ou de Project Zero.
Ces deux vulnérabilités ayant été utilisées dans des attaques, il est suggéré à tous les utilisateurs de Chrome d’effectuer une mise à niveau manuelle ou de redémarrer leur navigateur pour installer la dernière version.
Quinzième zero-day corrigé cette année
Avec ces correctifs, Google a corrigé 15 vulnérabilités zero-day de Chrome depuis le début de 2021.
Les treize autres zero-days corrigés cette année sont listés ci-dessous :
- CVE-2021-21148 – 4 février 2021
- CVE-2021-21166 – 2 mars 2021
- CVE-2021-21193 – 12 mars 2021
- CVE-2021-21220 – 13 avril 2021
- CVE-2021-21224 – 20 avril 2021
- CVE-2021-30551 – 9 juin 2021
- CVE-2021-30554 – 17 juin 2021
- CVE-2021-30563 – 15 juillet 2021
- CVE-2021-30632 et CVE-2021-30633 – 13 septembre
- CVE-2021-37973 – 24 septembre 2021
- CVE-2021-37976 et CVE-2021-37975 – 30 septembre 2021
Étant donné que Google propose désormais des mises à jour de Chrome pour corriger les jours zéro au fur et à mesure qu’ils sont signalés, il est fortement conseillé aux utilisateurs de ne pas bloquer les mises à jour et d’installer de nouvelles versions dès qu’elles sont disponibles.