Google a annoncé jeudi le déploiement d’une mise à jour de Chrome pour remédier à quatre vulnérabilités de sécurité, dont deux qui sont déjà exploitées à l’état sauvage.

Les vulnérabilités exploitées incluent CVE-2021-37975, un bogue d’utilisation après une absence de gravité élevée dans le moteur V8, et CVE-2021-37976, un problème de fuite d’informations de gravité moyenne dans le noyau. Les deux ont été signalés la semaine dernière.

« Google est conscient que les exploits pour CVE-2021-37975 et CVE-2021-37976 existent dans la nature », a déclaré le géant de la recherche Internet.

Désormais déployée pour les utilisateurs de Windows, Mac et Linux en tant que version Chrome 94.0.4606.71, la nouvelle itération du navigateur traite également de CVE-2021-37974, une utilisation après utilisation gratuite dans la navigation sécurisée.

Google affirme que le rapport sur cette vulnérabilité a valu au chercheur chargé du rapport, à savoir Weipeng Jiang de l’équipe Codesafe de Legendsec du groupe Qi’anxin, une récompense de 20 000 $ pour les bogues.

L’exploitation de ces vulnérabilités peut conduire à l’exécution de code arbitraire dans le contexte du navigateur, prévient le Centre de partage et d’analyse d’informations multi-états (MS-ISAC) dans un avis. Une exploitation réussie peut potentiellement conduire à une compromission du système.

La mise à jour intervient environ une semaine après que Google a publié un correctif d’urgence pour CVE-2021-37973, un problème d’utilisation après utilisation gratuite dans l’API Portals qui était déjà exploité dans des attaques.

Avec CVE-2021-37975 et CVE-2021-37976, le nombre d’attaques zero-day documentées jusqu’à présent en 2021 a été arrondi à 70. Parmi celles-ci, 14 failles de sécurité ont été trouvées dans les plates-formes Chrome et Android de Google, données examinées par Spectacles SecurityWeek.

Connexes : Google travaille sur l’amélioration de la sécurité de la mémoire dans Chrome

Connexes : Google met en garde contre les Zero-Days exploités dans le navigateur Chrome

En relation: Google récompense plus de 130 000 $ pour les défauts corrigés avec la sortie de Chrome 93

Ionut Arghire est correspondant international pour SecurityWeek.

Chroniques précédentes de Ionut Arghire :

Mots clés: