Normalement, Google aurait dû déployer la version 90 de son navigateur Chrome à partir du 13 avril. Ce n'est pas encore le cas avec à la place une mise à jour 89.0.4389.128 dont le propos est de corriger deux vulnérabilités de sécurité.
Référencées CVE-2021-21206 et CVE-2021-21220, ces deux vulnérabilités affectent respectivement le moteur de rendu Blink et le moteur JavaScript V8. Google indique que des exploits existent dans la nature.
Pour ces 0day, le niveau de dangerosité n'est toutefois pas critique mais élevé. Cela suppose que la protection sandbox de Chrome n'est pas prise à défaut avec ces seules vulnérabilités. Quoi qu'il en soit, il n'est manifestement pas question pour Google de laisser traîner des 0day.
Après une révélation sur Twitter
Le contexte est assez singulier pour la vulnérabilité CVE-2021-21220. Sa découverte est attribuée à des chercheurs en sécurité de Dataflow Security. Pour l'exécution de code malveillant dans le navigateur, elle a été exploitée avec succès dans le cadre du concours de hacking Pwn2Own la semaine dernière avec pour cible Google Chrome et Microsoft Edge qui sont tous deux à base Chromium.
Selon les règles du concours, pas de divulgation publique pour l'exploit rémunéré 100 000 dollars, tandis que le temps nécessaire est donné à l'éditeur concerné afin de procéder à une correction grâce à des éléments fournis. Mais il y a eu un imbroglio avec un chercheur en sécurité indien qui a fait état de la vulnérabilité 0day via Twitter.
The Record explique qu'en fouillant dans les commits (modifications) pour le code source du moteur JavaScript V8 (pour la correction), ce chercheur a été en mesure de recréer l'exploit du Pwn2Own qu'il a mis en ligne sur GitHub et a ensuite partagé sur Twitter.
Même si des précautions ont été prises en ne publiant pas une chaîne d'exploitation complète permettant un échappement de sandbox, tout ce tumulte semble avoir modifié les plans de Google pour le déploiement de Chrome 90.
