Google corrige une faille zero day Chrome utilisée par les attaquants

Google a lancé une mise à jour de son navigateur web Chrome qui corrige cinq failles de sécurité, dont une vulnérabilité connue pour être activement exploitée par les attaquants.

« Google a connaissance de rapports selon lesquels un exploit pour CVE-2020-15999 existe dans la nature », explique Google à propos de la faille zero-day dans FreeType, une bibliothèque de développement de logiciels largement utilisée qui est également un composant de Chrome. Le bogue dans cette bibliothèque de rendu de polices affecte les versions de navigateur pour Windows, macOS et Linux.

La faille, classée comme très grave, a été signalée par Sergei Glazunov, un membre du Projet Zéro de Google, le 19 octobre, la mise à jour étant publiée peu après. Les détails sur cet exploit zéro-day restent rares, bien que Google ait révélé que la faille de corruption de la mémoire provoque un débordement de la mémoire tampon dans FreeType. Les dépassements de tas sont connus pour provoquer la corruption des données ou un comportement inattendu sur un système et peuvent donner à un attaquant l’accès tant convoité.

« Il s'agit d'une version d'urgence, corrigeant une grave vulnérabilité dans le traitement des bitmaps PNG intégrés... Tous les utilisateurs devraient mettre à jour immédiatement », précise le message affiché sur le site web de FreeType.

Ben Hawkes, le responsable technique du Projet Zéro, a tweeté que bien que l'équipe n'ait remarqué qu'un exploit visant Chrome, ceux qui utilisent FreeType devraient également corriger leurs systèmes en utilisant la correction d'urgence de la bibliothèque logicielle, de peur d'être pris pour cible par des cybercriminels qui se précipitent pour exploiter la faille. Il a également abordé la question de savoir si le "zero-day" pourrait également affecter Chrome pour Android.

La mise à jour a également corrigé quatre autres vulnérabilités, trois d'entre elles étant considérées comme des bogues de haute et une de moyenne gravité.

Si les mises à jour automatiques sont activées, votre navigateur devrait se mettre à jour tout seul à la dernière version 86.0.4240.111. Toutefois, si vous n'avez pas activé cette option, vous devrez le faire vous-même via la section À propos de Google Chrome, qui se trouve sous Aide dans