Google prépare une nouvelle mise à jour pour Chrome 89 après qu’un autre exploit qui exploite une vulnérabilité dans son JavaScript open source et son moteur d’assemblage Web V8 a été découvert dans la nature.
Au total, la nouvelle mise à jour corrige deux vulnérabilités qui affectent V8 et le moteur de rendu de Chrome Blink. En janvier, il a été constaté que la version V8 souffrait d’un bogue de corruption de mémoire de dépassement de mémoire tampon de haut niveau de gravité.
Maintenant, cependant, une nouvelle vulnérabilité V8 (suivie sous le nom de CVE-2021-21220) est en cours de résolution parallèlement à un bogue d’utilisation après libre dans Blink (suivi sous le nom CVE-2021-21206).
La vulnérabilité Blink a été découverte pour la première fois par Bruno Keith et Niklas Baumstark de Dataflow Security lors du récent concours Pwn2Own de Zero Day Initiative. Bien qu’ils n’aient publié aucun code de preuve de concept (PoC), le chercheur en sécurité Rajvardhan Agarwal a développé un exploit pour la vulnérabilité et l’a récemment publié sur Twitter.
Sommaire
Mise à jour de Chrome 89.0.4389.128
Dans un nouvel article sur le blog Chrome Releases, Google a expliqué que les exploits pour la vulnérabilité Blink et la vulnérabilité V8 «existent dans la nature».
Alors que le canal stable de Chrome a été mis à jour pour les versions Windows, Mac et Linux du navigateur et que la version 89.0.4389.128 devrait être déployée dans les prochains jours / semaines, les cybercriminels pourraient toujours essayer d’exploiter ces vulnérabilités dans leurs attaques. En effet, les cybercriminels dotés de compétences de codage avancées essaient souvent de procéder à une rétro-ingénierie des correctifs pour découvrir ce contre quoi ils protègent, ce qui leur permet de cibler des déploiements non corrigés.
Les utilisateurs de Google Chrome doivent mettre à jour leur navigateur avec la dernière version une fois qu’elle sera disponible pour se protéger de tout exploit potentiel exploitant ces vulnérabilités.
Via le registre
