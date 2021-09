Utilisateurs de Google Chrome, mettez à jour dès que possible pour corriger ces failles de sécurité de type "jour zéro" activement exploitées.



Avez-vous mis à jour votre navigateur Chrome récemment ? Si vous utilisez Chrome, c'est le moment de le faire, car la dernière mise à jour apporte des correctifs pour près d'une douzaine de failles de sécurité, dont une paire de vulnérabilités de type "zero-day" qui, selon Google, sont activement exploitées dans la nature. Alors, oui, prenez deux secondes pour mettre à jour votre navigateur.







La dernière version de Chrome pour Windows, Mac et Linux est la 93.0.4577.82. Chrome fait un bon travail de mise à jour, et dans ce cas, Google dit que la dernière version sera déployée sur les PC dans les jours et semaines à venir. Vous ne devez pas nécessairement attendre, cependant, vous pouvez demander à Chrome de récupérer manuellement la mise à jour dès maintenant.







Pour ce faire, cliquez sur les trois points verticaux situés dans le coin supérieur droit du navigateur, puis accédez à Aide > À propos de Google Chrome. Chrome recherchera alors les mises à jour éventuelles et, si elles sont disponibles, les téléchargera et vous invitera à relancer le navigateur pour installer les correctifs. Les fenêtres et les onglets de votre navigateur seront rechargés, mais veillez à sauvegarder tout travail en cours dans le navigateur (comme un article dans un CMS).



L'opération ne prend pas beaucoup de temps, et votre navigateur sera plus sûr par la suite.



"Cette mise à jour comprend 11 corrections de sécurité... Google est conscient que des exploits pour CVE-2021-30632 et CVE-2021-30633 existent dans la nature", a déclaré Google dans les notes de publication.



Les deux ont été divulgués à Google la semaine dernière. Pour l'instant, les détails concernant ces vulnérabilités et les neuf autres qui sont corrigées avec la dernière version sont encore sous clé par Google, qui partagera plus d'informations une fois que "la majorité des utilisateurs auront reçu un correctif".



Selon les notes de publication, CVE-2021-30632 fait référence à une faille d'écriture hors limites dans le moteur JavaScript V8 qui conduit à la corruption de données ou à l'exécution de code indésirable, tandis que CVE-2021-30633 fait référence à un exploit user-after-free dans l'API IndexedDB qui peut être utilisé pour une variété d'attaques, y compris l'exécution de code à distance.



Voici la liste complète, ainsi que les primes de bug correspondantes...



- [$7500][1237533] High CVE-2021-30625: Use after free in Selection API. Reported by Marcin Towalski of Cisco Talos on 2021-08-06,

- [$7500][1241036] High CVE-2021-30626: Out of bounds memory access in ANGLE. Reported by Jeonghoon Shin of Theori on 2021-08-18,

- [$5000][1245786] High CVE-2021-30627: Type Confusion in Blink layout. Reported by Aki Helin of OUSPG on 2021-09-01,

- [$TBD][1241123] High CVE-2021-30628: Stack buffer overflow in ANGLE. Reported by Jaehun Jeong(@n3sk) of Theori on 2021-08-18,

- [$TBD][1243646] High CVE-2021-30629: Use after free in Permissions. Reported by Weipeng Jiang (@Krace) from Codesafe Team of Legendsec at Qi'anxin Group on 2021-08-26,

- [$TBD][1244568] High CVE-2021-30630: Inappropriate implementation in Blink . Reported by SorryMybad (@S0rryMybad) of Kunlun Lab on 2021-08-30,

- [$TBD][1246932] High CVE-2021-30631: Type Confusion in Blink layout. Reported by Atte Kettunen of OUSPG on 2021-09-06,

- [$TBD][1247763] High CVE-2021-30632: Out of bounds write in V8. Reported by Anonymous on 2021-09-08,

- [$TBD][1247766] High CVE-2021-30633: Use after free in Indexed DB API. Reported by Anonymous on 2021-09-08.



Jusqu'à présent, le montant total des primes s'élève à 20 000 dollars, bien que Google soit encore en train de déterminer les montants pour huit des bogues. Félicitations aux chercheurs qui ont découvert les vulnérabilités et félicitations pour le jour de paie.



HOTHARDWARE