Google s’apprête à corriger un problème sérieux vulnérabilité zero-day dans Google Chrome qui, s’il était exploité, pourrait permettre l’exécution de code arbitraire sur un système cible.
Affecté CVE-2021-21148, le bogue est décrit comme un débordement de la mémoire tampon du tas qui existe dans le composant V8 de Chrome, antérieur à la version 88.0.4234.150. Il a été initialement signalé le 24 janvier 2021, selon Google, qui croit qu’un exploit peut déjà exister dans la nature.
Aucun autre détail sur le problème n’a été rendu disponible au moment de la rédaction de cet article, et il n’y a eu aucun rapport de compromis via la vulnérabilité. Néanmoins, la Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain conseillé aux utilisateurs de mettre à niveau à la version 88.0.4324.146 pour Windows, Mac et Linux dès que possible.
Cybersmart Le PDG et co-fondateur Jamie Akhtar a déclaré que compte tenu de la gravité et de l’étendue de la vulnérabilité, les utilisateurs de Chrome pourraient se trouver une cible de choix.
«Comme d’habitude, les pirates informatiques du monde entier, tant nationaux que criminels, exploitent rapidement des vulnérabilités critiques dans la nature», a-t-il déclaré.
« Le côté positif de l’utilisation de Chrome ou d’un navigateur moderne en termes de sécurité est la fonctionnalité de mise à jour automatique – qui a affecté de nombreuses applications héritées. »
« Ceci est construit sur le principe de conception sécurisée où Chrome se met à jour pendant son utilisation, obligeant l’utilisateur à redémarrer uniquement son navigateur », a déclaré Akhtar.
ProPrivacy Le chercheur Aaron Drapkin a déclaré: «L’admission de Google Chrome qu’il y a un exploit zero-day dans la nature devrait inquiéter tous ceux qui utilisent le navigateur.
«Nous parlons d’une vulnérabilité exploitée activement par les pirates tout en restant insaisissable pour Google en même temps. Ils ne peuvent riposter que lorsqu’ils découvriront ce que c’est – ce qui marquera le jour zéro de l’atténuation », a-t-il déclaré.
«Les exploits du jour zéro ne sont pas rares et peuvent être attendus dans un navigateur que beaucoup de gens utilisent, mais pour cette vulnérabilité particulière, le jour zéro n’est pas encore arrivé. Cela signifie qu’il est primordial de s’assurer que votre navigateur Chrome exécute le logiciel le plus récent disponible. Mettre à jour votre navigateur avec un correctif est la meilleure – et la seule – chose que vous puissiez faire. »
Il y a déjà eu des spéculations non confirmées selon lesquelles le jour zéro pourrait être lié d’une manière ou d’une autre à une série de cyberattaques contre des chercheurs en sécurité de bonne foi, perpétrées par des acteurs malveillants. soutenu par le gouvernement nord-coréen.
Cette campagne, qui a été révélée par Google en janvier 2021, a vu ses victimes dupées par des comptes de médias sociaux de marionnettes chaussettes et d’autres techniques d’ingénierie sociale.
Les systèmes compromis exécutaient des versions entièrement corrigées – à l’époque – de Microsoft Windows 10 et Chrome.