Accueil Tech today La vulnérabilité Chrome Zero-Day V8 est activement exploitée

La vulnérabilité Chrome Zero-Day V8 est activement exploitée

Par

novembre 4, 2020

PSA: Au cours des deux dernières semaines, Google s’est occupé de corriger plusieurs failles de sécurité activement exploitées dans son navigateur Chrome. La dernière utilise une faille dans le moteur JavaScript V8 de la version de bureau pour exécuter des attaques RCE. Un bogue distinct dans la version Android permet une évasion de bac à sable.

Des chercheurs du Threat Analysis Group (TAG) de Google et du Project Zero ont découvert un exploit zero-day (CVE-2020-16009) la semaine dernière. Lundi, Google libéré Patch Chrome 86.0.4240.183 pour Windows, macOS et Linux qui résout le problème.

Les notes de mise à jour ne divulguent pas de détails concernant la faille de sécurité, sauf en disant qu’elle a à voir avec une «implémentation inappropriée» dans le moteur de rendu JavaScript V8. Il mentionne également que la faiblesse est déjà activement exploitée.

« Google a connaissance de rapports selon lesquels un exploit pour CVE-2020-16009 existe dans la nature », lit-on dans les notes de patch.

Quelques personnes ont remarqué que CVE-2020-16010 n’était pas inclus dans le lien ci-dessus. En effet, Chrome a des notes de publication distinctes pour le bureau et Android. Les notes de publication couvrant CVE-2020-16010 (sandbox escape pour Chrome sur Android) sont désormais disponibles ici: https://t.co/6hBKMuCAaK

– Ben Hawkes (@benhawkes) 3 novembre 2020

Ben Hawkes, responsable technique de Google Project Zero, tweeté que la faille permet aux attaquants d’effectuer des attaques RCE (Remote Code Execution). Hawkes aussi mentionné une mise à jour critique pour la version Android de Chrome qui corrige une «évasion sandbox» sur les téléphones Android (CVE-2020-16010).

Ces deux failles du jour zéro font suite à deux autres que Google a récemment corrigées.

The Hacker News signalé que CVE-2020-15999 – un débordement de mémoire tampon dans le package de rendu de polices Freetype – était activement exploité il y a à peine deux semaines. Une autre vulnérabilité (CVE-2020-17087) a trouvé à la fin de la semaine dernière, un débordement de tampon dans le pilote de cryptographie du noyau Windows a créé un échappement sandbox. Elle aussi était activement exploitée.

La mise à jour 86.0.4240.183 comprend également plusieurs autres correctifs de sécurité de haute priorité. Google recommande de mettre à jour immédiatement les versions de bureau et Android de Chrome.

Crédit d’image: Evan Lorne