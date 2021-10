Le navigateur Chrome de Google fait l'objet d'une attaque active, corrigez-la maintenant.



À la mi-septembre, Google a corrigé certaines vulnérabilités de type "zero-day" activement exploitées, découvertes dans Google Chrome. Aujourd'hui, le géant de la recherche sur le Web a récidivé en proposant plusieurs nouveaux correctifs de sécurité à la onzième heure de septembre, et vous devriez les appliquer dès maintenant.







Publiée jeudi, la mise à jour du canal stable pour Google Chrome, désignée par le numéro de version 94.0.4606.71, comporte un certain nombre de corrections ou de modifications. Cependant, les quatre correctifs de sécurité sont au premier plan, le premier étant la CVE-2021-37974 signalée par Weipeng Jiang de l'équipe Codesafe de Legendsec au Qi'anxin Group.



Cette vulnérabilité est un problème de type "use after free", c'est-à-dire que les problèmes proviennent de l'utilisation de l'allocation et de la désallocation dynamique de la mémoire qui ne met pas à jour la variable pointant vers la mémoire. En bref, un attaquant peut utiliser cette vulnérabilité pour pointer vers un emplacement mémoire contrôlé par l'attaquant, ce qui entraîne un large éventail de problèmes.







Il s'agit d'un autre problème de type "use after free", mais celui-ci se situe dans le moteur JavaScript V8 de Google, qui pose problème. Ce problème, dénommé CVE-2021-37975, a été découvert par un chercheur anonyme qui l'a signalé à Google. Elle présente un intérêt particulier, car elle a été ajoutée à la feuille de calcul "0day In The Wild" de Google, qui recense les vulnérabilités activement exploitées.



La troisième vulnérabilité avec un numéro CVE, CVE-2021-37976, a également été ajoutée à cette feuille bien qu'elle ait une gravité légèrement inférieure aux deux précédentes. Le blog de mise à jour la décrit comme une "fuite d'informations dans le noyau", qui a été "signalée par Clément Lecigne de Google TAG, avec l'assistance technique de Sergei Glazunov et Mark Brand de Google Project Zero".



Au-delà de ces vulnérabilités découvertes, Google effectue également des audits internes, du fuzzing et d'autres initiatives de sécurité pour corriger les problèmes, dont quelques-uns ont été inclus dans la mise à jour. Cependant, comme certaines de ces vulnérabilités sont exploitées dans la nature, toute personne utilisant Chrome doit s'assurer que son navigateur est mis à jour immédiatement. En outre, si vous souhaitez en savoir plus sur le contenu de cette mise à jour, vous pouvez consulter le blog complet pour plus de détails.



HOTHARDWARE