Google a corrigé une vulnérabilité zero-day dans le navigateur Web Chrome pour ordinateur de bureau qui, selon lui, est activement exploitée dans la nature.

La société a publié 88.0.4324.150 pour Windows, Mac et Linux, avec un correctif pour une faille de dépassement de tampon de tas (CVE-2021-21148) dans son moteur de rendu JavaScript V8.

“Google a connaissance de rapports selon lesquels un exploit pour CVE-2021-21148 existe dans la nature”, a déclaré la société dans un communiqué.

La faille de sécurité a été signalée à Google par Mattias Buelens le 24 janvier.

auditeur de mot de passe

Auparavant, le 2 février, Google résolu six problèmes dans Chrome, y compris une utilisation critique après une vulnérabilité gratuite dans les paiements (CVE-2021-21142) et quatre problèmes de gravité élevée dans les extensions, les groupes d’onglets, les polices et les fonctionnalités de navigation.

Bien qu’il soit typique de Google de limiter les détails de la vulnérabilité jusqu’à ce que la majorité des utilisateurs soient mis à jour avec le correctif, le développement intervient des semaines après que Google et Microsoft ont révélé des attaques menées par des pirates nord-coréens contre des chercheurs en sécurité avec une campagne d’ingénierie sociale élaborée pour installer un Porte dérobée Windows.

Certains chercheurs étant infectés simplement en visitant un faux blog de recherche sur les systèmes entièrement corrigés exécutant Windows 10 et le navigateur Chrome, Microsoft, dans un rapport publié le 28 janvier, avait laissé entendre que les attaquants avaient probablement exploité un Chrome Zero-day pour compromettre les systèmes.

Bien qu’il ne soit pas immédiatement clair si CVE-2021-21148 a été utilisé dans ces attaques, le moment des révélations et le fait que l’avis de Google soit sorti exactement un jour après que Buelens a signalé le problème implique qu’ils pourraient être liés.

Dans un article technique distinct, la société de cybersécurité sud-coréenne ENKI m’a dit le groupe de piratage public nord-coréen, connu sous le nom de Lazarus, a tenté sans succès de cibler ses chercheurs en sécurité avec des fichiers MHTML malveillants qui, une fois ouverts, ont téléchargé deux charges utiles à partir d’un serveur distant, dont l’un contenait un zero-day contre Internet Explorer.

“La charge utile secondaire contient le code d’attaque qui attaque la vulnérabilité du navigateur Internet Explorer”, ont déclaré les chercheurs d’ENKI.

Il convient de noter que l’année dernière, Google a corrigé cinq zéro jours de Chrome qui ont été activement exploités dans la nature en un mois entre le 20 octobre et le 12 novembre.



Leave a Reply