Mise à jour Google Chrome pour patcher sérieux zero-day

Google se déplace pour corriger une vulnérabilité grave de zéro jour dans Google Chrome qui, si elle est exploitée, pourrait permettre l’exécution arbitraire du code sur un système cible.

Assigné CVE-2021-21148, le bogue est décrit comme un débordement tampon en tas qui existe dans le composant V8 de Chrome, avant la version 88.0.4234.150. Il a d’abord été signalé le 24 janvier 2021, selon Google, qui estime qu’un exploit pourrait déjà exister dans la nature.

Aucun autre détail sur la question n’a été fourni au moment de la rédaction du rapport, et il n’y a eu aucun rapport de compromis via la vulnérabilité. Néanmoins, la Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain a conseillé aux utilisateurs de passer à la version 88.0.4324.146 pour Windows, Mac et Linux à leur convenance la plus précoce.

Jamie Akhtar, PDG et cofondateur de Cybersmart, a déclaré que, compte tenu de la gravité et de l’étendue de la vulnérabilité, les utilisateurs de Chrome pourraient se trouver une cible de choix.

« Comme d’habitude, les pirates à travers le monde, à la fois nation-État et criminel exploitent rapidement les vulnérabilités critiques dans la nature, at-il dit.

« Sur le côté positif, un avantage de sécurité de l’utilisation de Chrome ou d’un navigateur moderne est la fonctionnalité de mise à jour automatique – ce qui a affligé de nombreuses applications héritées. »

« Ceci est construit sur le principe sécurisé par conception où Chrome se met à jour alors qu’il est utilisé, exigeant de l’utilisateur de redémarrer uniquement leur navigateur », a déclaré Akhtar.

Aaron Drapkin, chercheur chez ProPrivacy, a déclaré : « L’admission de Google Chrome qu’il y a un exploit de zéro jour dans la nature devrait inquiéter tout le monde en utilisant le navigateur.

« Nous parlons d’une vulnérabilité étant activement exploitée par les pirates tout en restant insaisissable à Google en même temps. Ils ne peuvent riposter que lorsqu’ils découvrent ce que c’est – ce qui marquera le jour zéro de l’atténuation », a-t-il dit.

« Les exploits zero-day ne sont pas rares et on peut s’y attendre dans un navigateur que tant de gens utilisent, mais pour cette vulnérabilité particulière, le jour zéro n’est pas encore arrivé. Cela signifie qu’il est primordial de s’assurer que votre navigateur Chrome exécute le logiciel le plus récent disponible. Mettre à jour votre navigateur avec un patch est la meilleure – et la seule – chose que vous pouvez faire.

Il y a déjà eu des spéculations non confirmées selon qui le jour zéro pourrait être lié d’une manière ou d’une autre à une série de cyberattaques contre des chercheurs en sécurité de bonne foi, perpétrées par des acteurs malveillants soutenus par le gouvernement nord-coréen.

Cette campagne, révélée par Google en janvier 2021, a vu ses victimes dupées par des comptes de réseaux sociaux et d’autres techniques d’ingénierie sociale.

Les systèmes compromis étaient en cours d’exécution entièrement patché – à l’époque – versions de Microsoft Windows 10 et Chrome.