Google a publié une mise à jour pour son navigateur Web Chrome qui corrige une série de failles de sécurité, dont une vulnérabilité de type zero-day connue pour être activement exploitée par des acteurs malveillants. Les bogues affectent les versions Windows, macOS et Linux du populaire navigateur.

« Google a connaissance de rapports indiquant que des exploits pour CVE-2021-21224 existent dans la nature », précise Google au sujet de la vulnérabilité de type zero-day récemment divulguée, qui découle d'un bogue de confusion dans le moteur JavaScript V8 utilisé dans Chrome et d'autres navigateurs Web basés sur Chromium.

Outre la faille de type zero-day, la nouvelle version corrige six autres failles de sécurité, Google énumérant spécifiquement quatre vulnérabilités de haute gravité dont les corrections ont été apportées par des chercheurs externes. La première, indexée sous le nom de CVE-2021-21222, affecte également le moteur V8, mais il s'agit cette fois d'un bug de dépassement de tampon de tas.

La deuxième faille, répertoriée sous le nom de CVE-2021-21225, réside également dans le composant V8 et se manifeste par un bug d'accès à la mémoire hors limites. Quant à CVE-2021-21223, elle affecte Mojo sous la forme d'un débordement d'entier. La quatrième vulnérabilité de haute gravité, appelée CVE-2021-21226, est une faille de type use-after-free trouvée dans la navigation de Chrome.

« L'exploitation réussie de la plus grave de ces vulnérabilités pourrait permettre à un attaquant d'exécuter du code arbitraire dans le contexte du navigateur. En fonction des privilèges associés à l'application, un attaquant pourrait visualiser, modifier ou supprimer des données », prévient le Center for Internet Security.

Comme c'est souvent le cas avec de telles versions, le titan de la technologie n'a pas divulgué d'autres détails sur les failles de sécurité tant que la plupart des utilisateurs n'ont pas eu l'occasion de mettre à jour leur navigateur Web avec la dernière version disponible, ce qui réduit les risques d'exploitation des vulnérabilités par les acteurs de la menace.

Le Government Computer Emergency Response Team de Hong Kong (GovCERT.HK) publie une alerte de sécurité conseillant aux utilisateurs et aux administrateurs système de mettre à jour leurs navigateurs. « Les utilisateurs des systèmes concernés doivent mettre à jour Google Chrome à la version 90.0.4430.85 pour résoudre le problème », explique cette agence.

Compte tenu des vulnérabilités divulguées, les utilisateurs feraient bien de mettre à jour leurs navigateurs à la dernière version (90.0.4430.85) dès que possible. Si vous avez activé les mises à jour automatiques, votre navigateur devrait se mettre à jour tout seul. Vous pouvez également mettre à jour manuellement votre navigateur en consultant la section À propos de Google Chrome, qui se trouve dans la rubrique Aide de la barre de menu.