Jeudi, Google a déployé une mise à jour d’urgence pour son navigateur Web Chrome, y compris des correctifs pour deux vulnérabilités zero-day qui, selon lui, sont activement exploitées dans la nature.

Suivi comme CVE-2021-38000 et CVE-2021-38003, les faiblesses concernent une validation insuffisante d’entrées non fiables dans une fonctionnalité appelée Intents ainsi qu’un cas d’implémentation inappropriée dans JavaScript V8 et le moteur WebAssembly. Le groupe d’analyse des menaces (TAG) du géant de l’Internet a été crédité d’avoir découvert et signalé les deux failles les 15 septembre 2021 et 26 octobre 2021, respectivement.

« Google est conscient que des exploits pour CVE-2021-38000 et CVE-2021-38003 existent dans la nature », a déclaré la société. c’est noté dans un avis sans entrer dans les détails techniques sur la façon dont les deux vulnérabilités ont été utilisées dans les attaques ou les acteurs de la menace qui peuvent les avoir transformées en armes.

Également abordé dans le cadre de cette mise à jour de canal stable est un utilisation-après-gratuit vulnérabilité dans le composant Web Transport (CVE-2021-38002), qui a été démontrée pour la première fois lors du concours de la Coupe Tianfu organisé plus tôt ce mois-ci en Chine. Avec ces correctifs, Google a résolu un record de 16 zero-days dans le navigateur Web depuis le début de l’année —

Il est conseillé aux utilisateurs de Chrome de mettre à jour vers la dernière version (95.0.4638.69) pour Windows, Mac et Linux en allant dans Paramètres > Aide > « À propos de Google Chrome » afin d’atténuer tout risque potentiel d’exploitation active.