Google a publié mardi une mise à jour du navigateur Web Chrome pour Windows, Mac et Linux, avec un total de sept correctifs de sécurité, dont une faille pour laquelle il dit qu’un exploit existe dans la nature.

Suivi comme CVE-2021-21224, la faille concerne une vulnérabilité de type confusion dans le moteur JavaScript open-source V8 qui a été signalée à l’entreprise par le chercheur en sécurité Jose Martinez le 5 avril

Selon un chercheur en sécurité Lei Cao, l’insecte [1195777] est déclenché lors de l’exécution d’une conversion de type de données entier, ce qui entraîne une condition hors limites qui pourrait être utilisée pour obtenir une primitive de lecture / écriture de mémoire arbitraire.

auditeur de mot de passe

“Google a connaissance de rapports selon lesquels des exploits pour CVE-2021-21224 existent dans la nature”, “Srinivas Sista, responsable du programme technique de Chrome mentionné dans un article de blog.

La mise à jour vient après la preuve de concept (PoC) code exploitant la faille publiée par un chercheur nommé “frust“est apparue le 14 avril en profitant du fait que la question a été abordée dans le Code source V8, mais le correctif n’a pas été intégré à la base de code Chromium et à tous les navigateurs qui en dépendent, tels que Chrome, Microsoft Edge, Brave, Vivaldi et Opera.

L’intervalle de patch d’une semaine signifiait que les navigateurs étaient vulnérables aux attaques jusqu’à ce que les correctifs publiés dans le référentiel de code open source soient publiés sous forme de mise à jour stable.

auditeur de mot de passe

Il convient de noter que Google réduit de moitié «l’écart de patch» médian de 33 jours dans Chrome 76 à 15 jours dans Chrome 78, qui a été publié en octobre 2019, poussant ainsi des correctifs de sécurité sévères toutes les deux semaines.

La dernière série de correctifs arrive également dans la foulée d’une mise à jour que le géant de la recherche a déployée la semaine dernière avec des correctifs pour deux vulnérabilités de sécurité CVE-2021-21206 et CVE-2021-21220, dont la dernière a été démontrée au Pwn2Own Piratage 2021 concours plus tôt ce mois-ci.

Chrome 90.0.4430.85 devrait être déployé dans les prochains jours. Les utilisateurs peuvent mettre à jour vers la dernière version en se rendant dans Paramètres> Aide> À propos de Google Chrome pour atténuer le risque associé aux failles.



Leave a Reply