Google publie un mise à jour de son navigateur Chrome sur ordinateur pour combler 14 vulnérabilités de sécurité. Parmi celles-ci, une vulnérabilité 0day référencée CVE-2021-30551 fait l'objet d'une exploitation active dans des attaques.

Elle est décrite comme une vulnérabilité de confusion de type affectant le moteur JavaScript open source V8. La vulnérabilité a été rapportée par un chercheur en sécurité de Project Zero de Google et corrigée sept jours après signalement.

Comme à l'occasion du Patch Tuesday de Microsoft avec la correction d'une vulnérabilité 0day CVE-2021-33742 (parmi cinq autres), un responsable du Threat Analysis Group (TAG) de Google souligne un exploit commercial. Il a été fourni par un courtier en exploits - dont l'identité n'est pas précisée - à un État-nation.

Ces deux failles 0day (exploitation active dans des attaques avant la disponibilité d'un correctif) sont utilisées dans le cadre d'attaques ciblées en Europe de l'Est et au Moyen-Orient. À noter qu'il s'agit de la sixième 0day de l'année pour Google Chrome.

Une chaîne d'exploits sur Chrome et Windows

Mardi, Kaspersky a publié un rapport au sujet d'attaques très ciblées visant plusieurs entreprises et impliquant une chaîne d'exploits 0day pour Google Chrome et Windows. Kaspersky n'a pas été en mesure d'établir pour le moment de lien avec un quelconque groupe.

patch

Microsoft a publié les correctifs pour les vulnérabilités impliquées. C'est plus flou pour Google Chrome et savoir s'il s'agit de la vulnérabilité CVE-2021-30551. C'est en tout cas une raison supplémentaire d'inciter à la mise à jour de Chrome et Windows.