Google a corrigé deux autres failles zero-day dans le navigateur Web Chrome pour ordinateur de bureau, ce qui en fait les quatrième et cinquième vulnérabilités activement exploitées adressées par le géant de la recherche ces dernières semaines.
La société a publié 86.0.4240.198 pour Windows, Mac et Linux, qui, selon lui, sera déployé au cours des prochains jours / semaines à tous les utilisateurs.
Suivi comme CVE-2020-16013 et CVE-2020-16017, les failles ont été découvertes et signalées à Google par des sources «anonymes», contrairement aux cas précédents, qui ont été découverts par l’équipe de sécurité d’élite Project Zero de l’entreprise.
Google a reconnu que les exploits pour les deux vulnérabilités existaient dans la nature, mais s’est arrêté avant de partager plus de détails pour permettre à une majorité d’utilisateurs d’installer les correctifs.
Selon les notes de publication, les deux failles sont:
- CVE-2020-16013: Une « implémentation inappropriée » de son moteur de rendu JavaScript V8 a été signalée le 9 novembre.
- CVE-2020-16017: Un utilisation-après-libre problème de corruption de la mémoire dans Chrome isolation du site fonctionnalité a été signalée le 7 novembre.
Il convient de noter que le jour zéro qu’il a corrigé la semaine dernière, CVE-2020-16009, concernait également une implémentation inappropriée de V8, conduisant à l’exécution de code à distance. Il n’est pas immédiatement clair si les deux défauts sont liés.
Au cours de la semaine dernière, Google a révélé un certain nombre de failles zero-day activement exploitées ciblant Chrome, Windows et iOS et macOS d’Apple, et bien qu’il semble que certains de ces problèmes aient été liés pour former une chaîne d’exploit, la société n’a pas encore révéler des détails clés sur les personnes susceptibles de les avoir utilisées et les cibles visées.
Il est conseillé aux utilisateurs de mettre à jour leurs appareils avec la dernière version de Chrome pour atténuer le risque associé aux deux failles.