Chrome vient de mettre en ligne une nouvelle mise à jour contenant une flopée de correctifs de sécurité. En tout, ce sont cinq failles graves dont une classée “critique” qui sont adressée par le patch inclus dans la mise à jour. La faille de sécurité la plus grave, référence CVE-2021-4102, exploite un bug de type “use after free” qui réside dans le moteur JavaScript V8 ainsi que dans le moteur de rendu WebAssembly.
Un bug “use after free” désigne un problème qui survient lorsqu’un programme fait référence à un registre mémoire qui vient tout juste d’être libéré. L’exploitation de cette faille débouche sur une corruption de mémoire qui peut permettre à des pirates d’exécuter du code arbitraire. Google évite de donner à ce stade trop de détails sur le problème de sécurité précis pour protéger les utilisateurs, en attendant qu’une majorité aient pu appliquer la mise à jour.
Cette faille de sécurité de Chrome est activement exploitée par des pirates
Google explique en effet que cette faille de sécurité découverte par un chercheur anonyme est en ce moment activement exploitée par des acteurs malveillants. “Google est au courant qu’un exploit de la faille CVE-2021-4102 existe dans la nature”. On ne sait pas pour l’heure quels sont ces acteurs, ni la manière précise dont cette faille est exploitée – et ses effets délétères sur les données personnelles des internautes.
Or, ce n’est pas la première fois que des chercheurs découvrent une faille de ce type dans le moteur JavaScript V8.
Pas plus tard que le 30 septembre, Google adressait deux failles semblables via une mise à jour là encore fortement recommandée. Ce type de bug existe surtout dans les composants les plus complexes, en raison d’erreurs de conditions et autres circonstances exceptionnelles – ou d’une confusion sur les parties du programmes responsables de la libération des registres mémoire.
En tout 17 failles de sécurité ont étee corrigées depuis le début de l’année. Il est donc fortement recommandé d’installer cette mise à jour de Chrome (96.0.4664.110) :
CVE-2021-21148 – Heap buffer overflow dans V8
CVE-2021-21166 – Problème de recyclage d’objet dans audio
CVE-2021-21193 – Use-after-free dans Blink
CVE-2021-21206 – Use-after-free dans Blink
CVE-2021-21220 – Validation insuffisante d’entrée non sécurisée dans V8 sur x86_64
CVE-2021-21224 – Confusion de type dans V8
CVE-2021-30551 – Confusion de type dans V8
CVE-2021-30554 – Use-after-free dans WebGL
CVE-2021-30563 – Confusion de type dans V8
CVE-2021-30632 – Ecriture hors des limites dans V8
CVE-2021-30633 – Use-after-free dans Indexed DB API
CVE-2021-37973 – Use-after-free dans Portals
CVE-2021-37975 – Use-after-free dans V8
CVE-2021-37976 – Fuite de données dans core
CVE-2021-38000 – Validation insuffisante d’entrée non sécurisée dans Intents
CVE-2021-38003 – Implémentation inappropriée dans V8
Pour forcer la mise à jour de votre navigateur, rendez-vous dans le menu ⋮ en haut à droite de votre avatar > Aide > A propos de Google Chrome. Si une mise à jour est disponible elle sera téléchargée et installée automatiquement.
Source – The Hacker News)