Google corrige deux faille zero day exploitées dans Chrome
Pour la deuxième fois ce mois-ci, Google a corrigé deux failles de sécurité inconnues ou “zero day” dans Chrome. Celles ci sont déjà exploitées par des attaquants.
Google a publié une mise à jour sur le canal stable de Chrome pour les machines Windows, Mac et Linux afin de corriger deux failles de type “zero day” affectant le navigateur le plus populaire du web.
La mise à jour fait passer Chrome à la version 94.0.4606.71. En raison des attaques, il est prudent pour les organisations et les consommateurs de faire la mise à jour dès qu’elle est disponible. Google indique que la mise à jour sera deployée dans les “jours/semaines à venir”.
La mise à jour comprend quatre correctifs de sécurité pour Chrome, dont les deux zero-days. L’une d’entre elles, une faille de haute gravité connue sous le nom de CVE-2021-37975, provient du moteur JavaScript V8 de Google et a été signalée par un chercheur anonyme.
Une autre faille de gravité moyenne, dénommée CVE-2021-37976, est une “fuite d’informations dans le noyau” et a été signalée par le groupe d’analyse des menaces (TAG) de Google avec l’aide des chercheurs en sécurité de Google Project Zero.
“Google est conscient que les exploits pour CVE-2021-37975 et CVE-2021-37976 ont été diffusés”, a déclaré Google dans ses notes de publication.
Avec ces deux dernières failles, Google a corrigé 12 failles zero day dans Chrome depuis le début de l’année 2021. Google a corrigé deux failles de type “zero day” dans Chrome le 13 septembre, marquant ainsi son 10e correctif de type “zero day” de l’année.
TAG est le groupe de Google spécialisé dans la traque des groupes d’attaquants soutenus par des gouvernements. Il a déjà mis au jour des activités de pirates nord-coréens et des attaques contre iOS et les navigateurs grand public.
Samuel Groß, chercheur du Google Project Zero, a récemment donné le coup d’envoi d’un projet visant à résoudre les bugs V8, qui, selon lui, sont particulièrement dangereux.
“Les bugs V8 permettent généralement la construction d’exploits exceptionnellement puissants”, a averti Groß. Ces bugs sont également résistants aux mesures d’atténuation modernes assistées par le matériel.
Les détails des deux nouveaux bugs de Chrome n’ont pas encore été ajoutés au suivi des “0-day in the wild” du Google Project Zero. Après l’ajout de ces bugs, la liste comprendra un total de 48 bugs de type “zero-day” qui ont été exploités par des attaquants depuis le début de l’année 2021. Ces bugs ont affecté des logiciels et du matériel provenant de Google, Apple, Adobe, Microsoft, Qualcomm et ARM.
Le Project Zero de Google et TAG indiquent qu’il y a eu une augmentation des exploits de type “zero-day” cette année, mais ce que cela signifie en termes d’attaque et de défense est moins clair.
“Il n’y a pas de relation univoque entre le nombre de failles zero day utilisés par des attaquants et le nombre de failles zero day détectés et divulgués. Les attaquants à l’origine des exploits 0-day veulent généralement que leurs 0-day restent cachés et inconnus, car c’est ainsi qu’ils sont le plus utiles”, ont écrit les chercheurs en sécurité de Google.
L’augmentation du nombre de failles zero day pourrait s’expliquer par le fait que les défenseurs parviennent de mieux en mieux à les identifier et à les détecter. Mais cela pourrait aussi être dû au fait que les attaquants les utilisent plus fréquemment parce qu’il y a plus de plates-formes à attaquer et plus d’entreprises commerciales vendant aux gouvernements l’accès aux failles zero day, ce qui réduit le besoin de compétences techniques pour les utiliser.
Source : “ZDNet.com”
