Les utilisateurs doivent corriger plusieurs nouvelles vulnérabilités du navigateur affectant Chrome, Firefox, et Edge.
Les vulnérabilités sont jugées critiques et pourraient permettre aux attaquants de détourner des systèmes sensibles.
Il est à noter que la faille Firefox identifiée comme CVE-2020-16044 est distincte de la vulnérabilité découverte dans Chromium. Chromium est le moteur de navigateur pour Google Chrome et Microsoft Edge.
Vulnérabilité Firefox CVE-2020-16044
Selon Le conseil de Mozilla, «Un pair malveillant aurait pu modifier un bloc COOKIE-ECHO dans un paquet SCTP d'une manière qui aurait potentiellement entraîné une utilisation après. Nous supposons qu'avec suffisamment d'efforts, il aurait pu être exploité pour exécuter du code arbitraire. »
En d'autres termes, la vulnérabilité est un problème d'utilisation après utilisation, découlant de la manière dont le navigateur Firefox gère les cookies du navigateur. Lors de l'exploitation, le bogue pourrait permettre aux attaquants d'accéder à l'appareil de l'utilisateur (ordinateur, tablette, ou téléphone). La vulnérabilité a été corrigée dans la version de bureau de Firefox 84.0.2, Firefox Android 84.1.3, et l'ESR d'entreprise 78.6.1 version.
L'entreprise n'a pas précisé qui a découvert la vulnérabilité ni si elle est activement exploitée dans la nature. Cependant, les utilisateurs doivent s'assurer que leurs navigateurs exécutent une version corrigée pour éviter tout problème.
Vulnérabilité Chrome et Edge CVE-2020-15995
Ce bogue de Chromium est décrit comme une «écriture hors limites dans la version V8 de Google Chrome antérieure à 86.0.4240.99». Le bogue pourrait permettre à un attaquant distant d'exploiter potentiellement la corruption de tas via une page HTML spécialement conçue.
Fenêtres, macOS, et les utilisateurs Linux de Chrome doivent corriger la vulnérabilité résidant dans le 87.0.4280.141 version du navigateur. Les chercheurs de Tenable ont évalué la faille comme critique. Cependant, Google et Microsoft ont déclaré que le bogue était de grande gravité.
La CVE-2020-15995 a été découverte et signalée par Bohan Liu, chercheur au Tencent Security Xuanwu Lab.
Il est à noter que CVE-2020-15995 est associé à un bulletin de sécurité de mise à jour Chrome pour Android publié par Google en octobre de l'année dernière lorsqu'il a été classé comme un problème de haute gravité..
Initialement, la vulnérabilité a été révélée en septembre 2020 par le même chercheur Tencent.
Ce n'est pas la seule vulnérabilité mettant en danger le moteur Chromium dans Chrome et Edge. Google a divulgué 12 plus de défauts, et Microsoft les a également présentés dans son bulletin de sécurité. Voici la liste des vulnérabilités:
CVE-2021-21106, CVE-2021-21107, CVE-2021-21108, CVE-2021-21109, CVE-2021-21110, CVE-2021-21111, CVE-2021-21112, CVE-2021-21113, CVE-2021-21114, CVE-2021-21115, CVE-2021-21116, CVE-2020-16043.
En décembre 2020, Mozilla et Google ont corrigé une autre vulnérabilité critique caché dans leurs navigateurs.
Selon l'avis de sécurité de Mozilla, CVE-2020-16042 est un problème dans BigInt, un composant JavaScript qui aurait pu déclencher l'exposition de la mémoire non initialisée. La description de Google diffère, car le bogue est décrit comme une "utilisation non initialisée" affectant le moteur JavaScript V8 de Chrome. Ces types de bogues sont largement négligés et considérés comme des «erreurs de mémoire insignifiantes».