Google se démène pour corriger la vulnérabilité Zero-Day de Chrome dans le correctif d’urgence

  • FrançaisFrançais



  • Une vulnérabilité zero-day activement exploitée expose de nombreux utilisateurs de Google Chrome à un risque très «élevé». Prenant note de la gravité de la vulnérabilité et des dommages consécutifs causés en cas d’exploitation réussie, Google a publié un correctif d’urgence pour la corriger. La version stable de Chrome 86.0.4240.111 est désormais disponible pour Windows, Mac et Linux, qui comprend également quatre autres vulnérabilités de gravité moyenne à élevée.

    Vulnérabilité Zero-Day de Chrome

    La vulnérabilité, qui a été signalée par Sergei Glazunov de Google Project Zero le 19 octobre, serait une vulnérabilité d’exécution de code arbitraire (ACE) qui a été activement exploitée dans la nature. En parcourant les brefs détails techniques mis à disposition par Google, on peut dire que le zero-day suivi sous CVE-2020-15999 est un bogue de dépassement de la mémoire tampon dans la bibliothèque de rendu de polices FreeType incluse dans les distributions standard de Chrome.

    Nouvelles connexes:
    Les pirates utilisent le bogue Firefox ‘Zero-day’ pour attaquer les employés de Coinbase

    Parlant davantage de la gravité des dommages que le bogue pourrait potentiellement causer, Rody Quinlan, Security Response Manager chez Tenable, a déclaré: «Le jour zéro est une faille de corruption de la mémoire [CVE-2020-15999] décrit comme un «débordement de tampon de tas dans FreeType». Une exploitation réussie des débordements de mémoire tampon du tas peut entraîner une fuite de mémoire qui pourrait potentiellement être utilisée pour conduire à l’exécution de code arbitraire. Étant donné que la faille de Chrome est activement exploitée dans la nature, les utilisateurs sont invités à mettre à jour leur navigateur dès que possible pour réduire le risque de compromission. “

    Autres correctifs

    Avec le CVE-2020-15999 correctif de sécurité de haute priorité, dont le délai d’exécution était inférieur à 24 heures, Google a également corrigé quatre autres vulnérabilités – de gravité moyenne à élevée – dans la version 86.0.4240.111 de Chrome. Voici la liste complète:

    1. CVE-2020-16000, gravité – élevée: Implémentation inappropriée dans Blink. Signalé par amaebi_jp le 2020-09-06.
    2. CVE-2020-16001, gravité – élevée: Utiliser après libre dans les médias. Signalé par Khalil Zhani le 2020-10-05.
    3. CVE-2020-16002, gravité – élevée: Utiliser après gratuit dans PDFium. Rapporté par Weipeng Jiang (@Krace) de l’équipe Codesafe de Legendsec du groupe Qi’anxin le 13/10/2020.
    4. CVE-2020-15999, gravité – élevée: Débordement de la mémoire tampon du tas dans Freetype. Rapporté par Sergei Glazunov de Google Project Zero le 2020-10-19.
    5. CVE-2020-16003, gravité – moyenne: Utiliser après gratuit en impression. Signalé par Khalil Zhani le 2020-10-04.
    Nouvelles connexes:
    Un chercheur découvre une faille Zero-Day inégalée affectant les derniers téléphones Android

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *