Google: un correctif d’urgence pour une faille zéro‑day de Chrome

Cette mise à jour d'urgence intervient trois jours à peine après la précédente mise à jour de Google, qui a comblé 19 autres failles de sécurité.

Cette mise à jour d’urgence intervient trois jours à peine après la précédente mise à jour de Google, qui a comblé 19 autres failles de sécurité.

Google a publié une mise à jour d’urgence pour son navigateur Web Chrome afin de corriger une vulnérabilité zéro-day connue pour être activement exploitée dans la nature par des acteurs malveillants. La faille de sécurité affecte les versions Windows, macOS et Linux du populaire navigateur.

« Google est conscient qu’un exploit pour CVE-2021-37973 observé dans la nature », précise Google au sujet de cette vulnérabilité zéro-day nouvellement divulguée. Le bogue, classé comme étant d’une sévère gravité, est une faille de type « use-after-free » dans l’API Portals Web API, le composant de navigation des pages web du moteur de navigateur Chromium de Google.

Clément Lecigne, du groupe d’analyse des menaces (TAG) de Google, est à l’origine de la découverte de la vulnérabilité le 21 septembre, avec l’aide technique de deux de ses collègues du projet Google Zero, Sergei Glazunov et Mark Brand.

La vulnérabilité était si grave qu’elle a nécessité sa propre mise à jour officielle pour le navigateur Chrome. Cette mise à jour est d’autant plus remarquable qu’elle a été lancée quelques jours seulement après que Google ait publié une version stable de Chrome qui corrigeait 19 autres bogues. Il n’a fallu que trois jours à l’équipe de Google pour publier un correctif après avoir été informée par Lecigne et ses collègues que la faille était activement exploitée dans la nature.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a également pris note de cette publication et a émis un avis de sécurité invitant les utilisateurs et les administrateurs système à mettre à jour leurs navigateurs. « Google a publié la version 94.0.4606.61 de Chrome pour Windows, Mac et Linux. Cette version corrige une vulnérabilité—CVE-2021-37973— qu’un attaquant pourrait exploiter pour prendre le contrôle d’un système affecté. Un exploit pour cette vulnérabilité existe dans la nature », souligne l’agence.

Compte tenu du moment et de la gravité de la vulnérabilité divulguée, vous feriez bien de mettre à jour votre navigateur à la dernière version (94.0.4606.61) dès que possible. Si vous avez activé les mises à jour automatiques, le navigateur devrait être en mesure de mettre à jour la dernière version disponible de lui-même.

Toutefois, si vous n’avez pas encore activé la fonction, vous pouvez également mettre à jour votre navigateur manuellement en consultant la section À propos de Google Chrome, qui se trouve sous Aide dans la barre de menu.

Infolettre

Discussion