Google propose la mise à jour 88.0.4324.150 de Chrome qui vient boucher une faille de sécurité de type 0-day déjà exploitée par des hackers. La faille a pour référence CVE-2021-21148.
Une faille 0-day exploitée par des hackers est bouchée dans Chrome
La faille dans Chrome a été repérée par Mattias Buelens le 24 janvier. Il a fait le nécessaire pour la rapporter à Google, qui propose aujourd’hui un correctif dans son navigateur. La faille 0-day est décrite comme un bug de heap buffer overflow (débordement de mémoire tampon en bon français) dans V8. Il s’agit du moteur JavaScript open-source qui se veut haute performance et qui est présent dans Chrome.
Bien que les débordements de mémoire tampon entraînent généralement des crashs, ils peuvent également être exploités par des hackers pour exécuter du code arbitraire sur des systèmes exécutant des logiciels vulnérables. C’est ce qui se passe ici. Google dit que hackers exploitent déjà la faille, mais il n’y a pas plus d’informations à leur sujet. Nous ne savons pas non plus quelles sont leurs victimes. Google précise qu’il dévoilera les détails techniques quand une majorité d’utilisateurs aura installé la mise à jour de Chrome.
Si vous avez déjà Chrome, vous pouvez vous rendre dans Paramètres > À propos de Chrome. Cela va rechercher la dernière mise à jour et l’installer. Sinon, vous pouvez faire un téléchargement manuel depuis google.fr/chrome. Il est important d’installer la mise à jour de Chrome pour boucher la faille de type 0-day.
