Google déploie en urgence une mise à jour de son navigateur Chrome. Elle corrige quatre vulnérabilités de sécurité. Même s'il n'y a pas de faille jugée critique, deux 0day font l'objet d'une exploitation de manière active par des attaquants.

google-chrome-version

Pour le moment, Google n'entre pas dans les détails et les types d'attaques avec les vulnérabilités CVE-2021-37975 et CVE-2021-37976. L'éditeur se contente de souligner que des exploits pour les deux vulnérabilités existent dans la nature.

" L'accès aux détails des bugs est restreint jusqu'à ce qu'une majorité d'utilisateurs ait reçu un correctif. Nous maintiendrons également des restrictions si le bug existe dans une bibliothèque logicielle tierce dont d'autres projets dépendent de manière similaire, mais qui n'a pas encore été corrigée. "

Plusieurs 0day depuis le début de l'année

La première faille est décrite comme un bug User After Free dans le moteur JavaScript V8 de Chrome et peut donc faire référence à un problème de réinitialisation d'un pointeur après la libération de la mémoire. Elle a été signalée le 24 septembre par un chercheur en sécurité qui a souhaité conservé l'anonymat.

La deuxième faille est de type fuite d'informations. Elle a été signalée le 21 septembre par un ingénieur en sécurité du Threat Analysis Group de Google, avec l'appui technique de membres du Google Project Zero.

Depuis le début de cette année, Google a corrigé une douzaine de vulnérabilités 0day affectant Chrome avec donc une exploitation active dans des attaques avant la disponibilité d'un correctif. Google ne traîne pas dans la publication de correctifs quand de telles vulnérabilités sont signalées.