Attention lecteurs, si vous utilisez le navigateur Google Chrome sur vos ordinateurs Windows, Mac ou Linux, vous devez immédiatement mettre à jour votre logiciel de navigation Web vers la dernière version publiée par Google plus tôt dans la journée.
Google libéré Chrome version 86.0.4240.111 aujourd’hui pour corriger plusieurs problèmes de sécurité de haute gravité, y compris une vulnérabilité zero-day qui a été exploitée dans la nature par des attaquants pour détourner des ordinateurs ciblés.
Suivi comme CVE-2020-15999, la vulnérabilité activement exploitée est un type de faille de corruption de mémoire appelée débordement de tampon de tas dans Freetype, une bibliothèque de développement de logiciels open source populaire pour le rendu des polices fournie avec Chrome.
La vulnérabilité a été découverte et signalée par le chercheur en sécurité Sergei Glazunov de Google Project Zero le 19 octobre et est soumise à un délai de divulgation publique de sept jours en raison de l’exploitation active de la faille.
Glazunov a également immédiatement signalé la vulnérabilité zero-day aux développeurs FreeType, qui ont ensuite développé un correctif d’urgence pour résoudre le problème le 20 octobre avec la sortie de FreeType 2.10.4.
Sans révéler les détails techniques de la vulnérabilité, le responsable technique du Project Zero de Google Ben Hawkes averti sur Twitter, bien que l’équipe n’ait repéré qu’un exploit ciblant les utilisateurs de Chrome, il est possible que d’autres projets utilisant FreeType soient également vulnérables et qu’il soit conseillé de déployer le correctif inclus dans FreeType version 2.10.4.
« Alors que nous n’avons vu qu’un exploit pour Chrome, les autres utilisateurs de freetype devraient adopter le correctif discuté ici: https://savannah.nongnu.org/bugs/?59308 – le correctif est également dans la version stable d’aujourd’hui de FreeType 2.10.4 », Écrit Hawkes.
Selon détails partagée par Glazunov, la vulnérabilité existe dans la fonction de FreeType « Load_SBit_Png », qui traite les images PNG intégrées dans les polices. Il peut être exploité par des attaquants pour exécuter du code arbitraire simplement en utilisant des polices spécialement conçues avec des images PNG intégrées.
« Le problème est que libpng utilise les valeurs 32 bits d’origine, qui sont enregistrées dans` png_struct`. Par conséquent, si la largeur et / ou la hauteur d’origine sont supérieures à 65535, le tampon alloué ne pourra pas s’adapter au bitmap, « A expliqué Glazunov.
Glazunov a également publié un fichier de police avec un exploit de preuve de concept.
Google a publié Chrome 86.0.4240.111 en tant que version « stable » de Chrome, qui est disponible pour tous les utilisateurs, et pas seulement pour les premiers adoptants, en disant que la société a connaissance d’informations selon lesquelles « un exploit pour CVE-2020-15999 existe dans la nature », mais n’a pas révélé plus de détails sur les attaques actives.
Outre la vulnérabilité FreeType zero-day, Google a également corrigé quatre autres failles dans la dernière mise à jour de Chrome, dont trois sont des vulnérabilités à haut risque: un bogue de mise en œuvre inapproprié dans Blink, une utilisation après un bogue gratuit dans les médias de Chrome et une utilisation après un bogue gratuit dans PDFium – et une utilisation à risque moyen après un problème gratuit dans la fonction d’impression du navigateur.
Bien que le navigateur Web Chrome informe automatiquement les utilisateurs de la dernière version disponible, il est recommandé aux utilisateurs de déclencher manuellement le processus de mise à jour en accédant à « Aide → À propos de Google Chrome » dans le menu.
