Passer au contenu

Mettez immédiatement Chrome à jour pour colmater cette faille dangereuse

Google publie une mise à jour corrective de Chrome pour corriger plusieurs failles de sécurité graves dont une est activement exploitée par des pirates.

Chrome vient de mettre en ligne une nouvelle mise à jour contenant une flopée de correctifs de sécurité. En tout, ce sont cinq failles graves dont une classée “critique” qui sont adressée par le patch inclus dans la mise à jour. La faille de sécurité la plus grave, référence CVE-2021-4102, exploite un bug de type “use after free” qui réside dans le moteur JavaScript V8 ainsi que dans le moteur de rendu WebAssembly.

Un bug “use after free” désigne un problème qui survient lorsqu’un programme fait référence à un registre mémoire qui vient tout juste d’être libéré. L’exploitation de cette faille débouche sur une corruption de mémoire qui peut permettre à des pirates d’exécuter du code arbitraire. Google évite de donner à ce stade trop de détails sur le problème de sécurité précis pour protéger les utilisateurs, en attendant qu’une majorité aient pu appliquer la mise à jour.

Cette faille de sécurité de Chrome est activement exploitée par des pirates

Google explique en effet que cette faille de sécurité découverte par un chercheur anonyme est en ce moment activement exploitée par des acteurs malveillants. “Google est au courant qu’un exploit de la faille CVE-2021-4102 existe dans la nature”. On ne sait pas pour l’heure quels sont ces acteurs, ni la manière précise dont cette faille est exploitée – et ses effets délétères sur les données personnelles des internautes.

Or, ce n’est pas la première fois que des chercheurs découvrent une faille de ce type dans le moteur JavaScript V8. Pas plus tard que le 30 septembre, Google adressait deux failles semblables via une mise à jour là encore fortement recommandée. Ce type de bug existe surtout dans les composants les plus complexes, en raison d’erreurs de conditions et autres circonstances exceptionnelles – ou d’une confusion sur les parties du programmes responsables de la libération des registres mémoire.

En tout 17 failles de sécurité ont étee corrigées depuis le début de l’année. Il est donc fortement recommandé d’installer cette mise à jour de Chrome (96.0.4664.110) :

  • CVE-2021-21148 – Heap buffer overflow dans V8
  • CVE-2021-21166 – Problème de recyclage d’objet dans audio
  • CVE-2021-21193 – Use-after-free dans Blink
  • CVE-2021-21206 – Use-after-free dans Blink
  • CVE-2021-21220 – Validation insuffisante d’entrée non sécurisée dans V8 sur x86_64
  • CVE-2021-21224 – Confusion de type dans V8
  • CVE-2021-30551 – Confusion de type dans V8
  • CVE-2021-30554 – Use-after-free dans WebGL
  • CVE-2021-30563 – Confusion de type dans V8
  • CVE-2021-30632 – Ecriture hors des limites dans V8
  • CVE-2021-30633 – Use-after-free dans Indexed DB API
  • CVE-2021-37973 – Use-after-free dans Portals
  • CVE-2021-37975 – Use-after-free dans V8
  • CVE-2021-37976 – Fuite de données dans core
  • CVE-2021-38000 – Validation insuffisante d’entrée non sécurisée dans Intents
  • CVE-2021-38003 – Implémentation inappropriée dans V8

Lire aussi – Chrome 96 est disponible – nouveautés et comment le télécharger

Pour forcer la mise à jour de votre navigateur, rendez-vous dans le menu ⋮ en haut à droite de votre avatar > Aide > A propos de Google Chrome. Si une mise à jour est disponible elle sera téléchargée et installée automatiquement.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
Cliquer pour commenter
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *