Google a publié mardi une nouvelle version du logiciel de navigation Web Chrome pour Windows, Mac et Linux avec des correctifs pour deux vulnérabilités de sécurité récemment découvertes pour les deux, dont il affirme que des exploits existent dans la nature, permettant aux attaquants de se livrer à une exploitation active.
L’une des deux failles concerne une validation insuffisante des entrées non fiables dans son moteur de rendu JavaScript V8 (CVE-2021-21220), ce qui a été démontré par Bruno Keith et Niklas Baumstark de Dataflow Security lors du concours de piratage Pwn2Own 2021 la semaine dernière.
Alors que Google s’est efforcé de corriger rapidement la faille, le chercheur en sécurité Rajvardhan Agarwal a publié un exploit fonctionnel au cours du week-end en procédant à la rétro-ingénierie du correctif que l’équipe Chromium a poussé vers le composant open-source, un facteur qui a peut-être joué un rôle crucial dans la publication. .
METTRE À JOUR: Agarwal, dans un e-mail à The Hacker News, a confirmé qu’il y a encore une vulnérabilité affectant les navigateurs basés sur Chromium qui a été corrigé dans la dernière version de V8, mais qui n’a pas été inclus dans la version de Chrome déployée aujourd’hui, laissant ainsi les utilisateurs potentiellement vulnérables aux attaques même après l’installation de la nouvelle mise à jour.
«Même si les deux défauts sont de nature différente, ils peuvent être exploités pour gagner en RCE dans le processus de rendu», a déclaré Agarwal à The Hacker News par e-mail. « Je soupçonne que le premier correctif a été publié avec la mise à jour de Chrome en raison de l’exploit publié, mais comme le deuxième correctif n’a pas été appliqué à Chrome, il peut toujours être exploité. »
Aussi résolu par l’entreprise est un utilisation-après-libre vulnérabilité dans son moteur de navigateur Blink (CVE-2021-21206). Un chercheur anonyme a été crédité d’avoir signalé la faille le 7 avril.
« Google a connaissance de rapports selon lesquels des exploits pour CVE-2021-21206 et CVE-2021-21220 existent dans la nature », Prudhvikumar Bommana, responsable du programme technique de Chrome c’est noté dans un article de blog.
Il convient de noter que l’existence d’un exploit n’est pas la preuve d’une exploitation active par des acteurs menaçants. Depuis le début de l’année, Google a corrigé trois lacunes de Chrome qui ont été attaquées, notamment CVE-2021-21148, CVE-2021-21166 et CVE-2021-21193.
Chrome 89.0.4389.128 devrait être déployé dans les prochains jours. Les utilisateurs peuvent mettre à jour vers la dernière version en se rendant dans Paramètres> Aide> À propos de Google Chrome pour atténuer le risque associé aux failles.
