Google a corrigé une deuxième faille zero-day activement exploitée dans le navigateur Chrome en deux semaines, tout en corrigeant neuf autres vulnérabilités de sécurité dans sa dernière mise à jour.

L’entreprise libéré 86.0.4240.183 pour Windows, Mac et Linux, qui, selon lui, sera déployé au cours des prochains jours / semaines à tous les utilisateurs.

La faille du jour zéro, suivie comme CVE-2020-16009, a été rapporté par Clement Lecigne du Threat Analysis Group (TAG) de Google et Samuel Groß de Google Project Zero le 29 octobre.

La société a également averti qu’elle « a connaissance d’informations selon lesquelles un exploit pour CVE-2020-16009 existe dans la nature ».

Google n’a rendu public aucun détail sur le bogue ou l’exploit utilisé par les acteurs de la menace afin de permettre à une majorité d’utilisateurs d’installer les mises à jour et d’empêcher d’autres adversaires de développer leurs propres exploits en exploitant la faille.

Mais Ben Hawkes, responsable technique de Google Project Zero, m’a dit La CVE-2020-16009 concernait une « implémentation inappropriée » de son moteur de rendu JavaScript V8 conduisant à l’exécution de code à distance.

Outre les dix correctifs de sécurité pour la version de bureau de Chrome, Google a également abordé un zéro-day distinct dans Chrome pour Android qui était exploité dans la nature – une faille d’échappement de bac à sable suivie sous le nom CVE-2020-16010.

Les divulgations du jour zéro interviennent deux semaines après que Google a corrigé une faille critique de dépassement de mémoire tampon (CVE-2020-15999) dans la bibliothèque de polices Freetype.

Puis à la fin de la semaine dernière, la société a révélé une escalade de privilèges Windows zero-day (CVE-2020-17087) qui a été utilisée en combinaison avec la faille de bibliothèque de rendu de polices ci-dessus pour faire planter les systèmes Windows.

Le géant de la recherche n’a pas encore précisé si le même acteur menaçant exploitait les deux jours zéro.