Votre navigateur Chrome est-il à jour? Google vient de publier des correctifs pour 11 les failles de sécurité, dont deux sont activement exploités à l'état sauvage. Tous 11 les vulnérabilités sont très dangereuses.
Pour empêcher votre navigateur d'être exploité par des pirates, vous devez appliquer la mise à jour immédiatement.
Les deux failles activement exploitées sont des failles zero-day identifiées comme CVE-2021-30632 et CVE-2021-30633.
CVE-2021-30632 et CVE-2021-30633 Zero-Days dans Chrome
Sans surprise, les vulnérabilités résident dans le moteur JavaScript V8. CVE-2021-30632 est une écriture hors limites dans le moteur, alors que CVE-2021-30633 est une utilisation après libre dans l'API de base de données indexée. Les deux défauts ont été signalés par une partie anonyme.
Voici la liste de tout 11 problèmes de sécurité résolus dans 93.0.4577.82 pour Windows, Mac et Linux qui seront déployés dans les prochains jours:
[$7500][1237533] Élevé CVE-2021-30625: Utilisation gratuite dans l'API de sélection. Rapporté par Marcin Towalski de Cisco Talos le 2021-08-06
[$7500][1241036] Élevé CVE-2021-30626: Accès mémoire hors limites dans ANGLE. Rapporté par Jeonghoon Shin de Theori le 2021-08-18
[$5000][1245786] Élevé CVE-2021-30627: Tapez Confusion dans la mise en page Blink. Rapporté par Aki Helin de l'OUSPG le 2021-09-01
[$À déterminer][1241123] Élevé CVE-2021-30628: Débordement de tampon de pile dans ANGLE. Rapporté par Jaehun Jeong(@n3sk) de Théori sur 2021-08-18
[$À déterminer][1243646] Élevé CVE-2021-30629: Utiliser après gratuit dans les autorisations. Rapporté par Weipeng Jiang (@Krace) de l'équipe Codesafe de Legendsec du groupe Qi'anxin le 2021-08-26
[$À déterminer][1244568] Élevé CVE-2021-30630: Implémentation inappropriée dans Blink . Rapporté par SorryMybad (@ S0rryMybad) de Kunlun Lab sur 2021-08-30
[$À déterminer][1246932] Élevé CVE-2021-30631: Tapez Confusion dans la mise en page Blink. Rapporté par Atte Kettunen de l'OUSPG le 2021-09-06
[$À déterminer][1247763] Élevé CVE-2021-30632: Écrire hors limites en V8. Rapporté par Anonyme sur 2021-09-08
[$À déterminer][1247766] Élevé CVE-2021-30633: Utilisation gratuite dans l'API de base de données indexée. Rapporté par Anonyme sur 2021-09-08
Plus tôt cette année, Le chercheur indien en sécurité Rajvardhan Agarwal a publié un code de preuve de concept pour une autre vulnérabilité du moteur JavaScript V8 affectant Google Chrome, Microsoft bord, Courageux, et Opera (tous à base de chrome).
La vulnérabilité est probablement le même défaut, qui a été démontré lors de Pwn2Own 2021 par les chercheurs de Dataflow Security, Bruno Keith et Niklas Baumstark. Les deux chercheurs ont remporté $100,000 du concours de piratage pour exploiter avec succès la vulnérabilité pour exécuter du code malveillant dans les navigateurs Chrome et Edge.