Google corrige deux failles 0day dans Chrome
Google a annoncé lundi des correctifs pour 11 bugs différents dans Chrome, dont deux failles zero-day actuellement exploitées par des attaquants.
Google a énuméré les 11 correctifs, ainsi que les chercheurs qui les ont découverts et les primes distribuées. Mais les deux qui ont fait le plus de parler d’elles sont les CVE-2021-30632 et CVE-2021-30633.
“Google est conscient que des exploits pour CVE-2021-30632 et CVE-2021-30633 existent dans la nature”, explique Google. Ces deux vulnérabilités étaient les seules à être répertoriées comme ayant été soumises anonymement le 8 septembre.
Google a expliqué que CVE-2021-30632 était liée à une “écriture hors limites dans V8” et que CVE-2021-30633 concernait une “utilisation après libération dans l’API Indexed DB”.
Toutes les mises à jour seront effectuées dans les jours et les semaines à venir dans le cadre de la mise à jour du canal Stable vers la version 93.0.4577.82 pour Windows, Mac et Linux.
La dixième et surement pas la dernière
Kevin Dunne, président de Pathlock, a déclaré qu’il s’agissait de la dixième faille de type “zero-day” que Google avait corrigé cette année.
“Cela met en évidence l’importance que les acteurs malveillants accordent aux failles de navigateurs, Chrome devenant un favori incontestable. Ces failles permettent un moyen simplifié d’accéder à des millions d’appareils, quel que soit le système d’exploitation”, a déclaré Dunne.
“L’engagement de Google à corriger rapidement ces failles est louable, car la société propose Google Chrome en tant que logiciel gratuit et est donc la seule entité à pouvoir fournir ces mises à jour. Nous nous attendons à ce que les exploits de type “zero-day” continuent d’être exploités par des attaquants, mais nous sommes convaincus que Google continuera à faire des efforts en matière de sécurité et à fournir des correctifs rapides”
Les bugs de navigateur utilisés par des attaquants font partie des menaces de sécurité les plus importantes, a ajouté John Bambenek, principal threat researcher chez Netenrich.
“Maintenant qu’ils sont corrigés, l’exploitation va s’accélérer. Cela dit, près de 20 ans après, nous n’avons toujours pas rendu la navigation sur le Web sûre, ce qui montre que l’adoption rapide de la technologie continue de laisser les utilisateurs exposés aux criminels et aux acteurs étatiques”, a déclaré M. Bambenek.
“Tout le monde veut apprendre à pirater, trop peu de gens travaillent à la défense”.
Source : “ZDNet.com”
