Utilisez-vous la dernière version de Google Chrome (actuellement, en ce moment 86.0.4240.111)? Nous vous conseillons de vérifier si votre navigateur Chrome est mis à jour car il peut être sujet aux exploits. La meilleure façon de le faire est d'accéder au menu de Chrome, en sélectionnant Aide et à propos de Google Chrome.
Pourquoi devriez-vous être concerné? Des chercheurs en cybersécurité ont découvert une série de vulnérabilités de haute gravité, y compris CVE-2020-15999, un bug zero-day exploité dans la nature lors d'attaques ciblées.
CVE-2020-15999 Bogue Zero-Day dans Google Chrome
Le zero-day activement exploité est un type de vulnérabilité de corruption de mémoire, connu sous le nom de débordement de tampon de tas dans FreeType, une bibliothèque de développement open-source pour le rendu des polices incluses dans les distributions standard de Chrome. La faille a été découverte par le chercheur en sécurité de Google Project Zero, Sergei Glazunov, en octobre. 19.
Ben Hawkes, Chef d'équipe de Project Zero, dit que les pirates ont abusé de la vulnérabilité FreeType lors d'attaques contre les utilisateurs de Chrome. Le chercheur exhorte les autres éditeurs d'applications utilisant FreeType à mettre à jour leur logiciel afin de contourner tout futur exploit. La bibliothèque FreeType a été corrigée dans la version 2.10.4.
Que sait-on d'autre de l'exploitation de la vulnérabilité FreeType Chrome? Les détails sont rares car Google est généralement réticent à révéler des informations techniques afin que les utilisateurs aient suffisamment de temps pour mettre à jour. Cependant, un problème existe - le correctif du bogue est visible dans le code source de FreeType, ce qui signifie que les acteurs de la menace peuvent être en mesure de le désosser et de créer de nouveaux exploits.
Il est à noter que CVE-2020-15999 est le troisième zero-day exploité lors d'attaques au cours de l'année écoulée.. CVE-2019-13720 a été repéré en octobre 2019, et CVE-2020-6418 - en février 2020. CVE-2019-13720 était un problème d'utilisation après utilisation, lié à la corruption de la mémoire, alors que CVE-2020-6418 était une vulnérabilité de type confusion.
Outre CVE-2020-15999, Google a également corrigé quatre autres vulnérabilités, dont trois jugés à haut risque:
- CVE-2020-16000: Implémentation inappropriée dans Blink;
- CVE-2020-16001: Utiliser après gratuit dans les médias;
- CVE-2020-16002: Utilisez libre après PDFium;
- CVE-2020-16003: Utiliser après gratuit en impression (évalué comme moyen).
Nous vous recommandons vivement de mettre à jour vos navigateurs Chrome à la version 86.0.4240.111 pour rester protégé.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: