Si vous utilisez Google Chrome, une vulnérabilité Zero Day dans les portails signifie que vous devez mettre à jour immédiatement

Une vulnérabilité Zero Day dans les portails de Google Chrome signifie que vous devez mettre à jour immédiatement, car elle a été exploitée dans la nature.

Si vous utilisez Google Chrome, vous devez mettre à jour immédiatement. Une faille de sécurité Zero Day a été corrigée dans le cadre de Chrome 94.0.4606.61, qui a été publiée en tant que mise à jour d'urgence pour Windows, Mac et Linux. L'exploit a reçu l'ID CVE CVE-2021-37973, bien que la société ait caché les informations sur l'exploit jusqu'à ce que la majorité des utilisateurs aient effectué la mise à jour. La mise à jour est actuellement déployée sur le canal stable et les utilisateurs doivent mettre à jour dès qu'ils le peuvent. Pour vérifier votre version de Chrome, cliquez sur le menu à débordement en haut à droite, allez dans « plus » et cliquez sur « aide ». Il indiquera la version de Chrome que vous avez installée et installera également la dernière version disponible.

Dans un avis de sécurité émis par l'entreprise (via BipOrdinateur)

, il a déclaré que "Google est conscient qu'un exploit pour CVE-2021-37973 existe dans la nature." Google dit qu'il s'agit d'un "utiliser après gratuitement"attaque dans Portails, ce qui signifie qu'un bug dans Portals permet de toujours référencer la mémoire qui a été libérée. Cela peut conduire à un comportement inattendu et conduire à une exploitation du navigateur dans des conditions idéales pour un attaquant. Les portails sont une fonctionnalité que l'entreprise a commencé à tester en 2019 et sont utilisés pour l'intégration et des transitions transparentes entre les pages.

La faille de sécurité Zero Day corrigée aujourd'hui a été signalée le jour de la publication de la première version stable de Google Chrome 94, le 21 septembre. Elle a été découverte par Clément Lecigne de Google TAG, avec l'aide de Sergei Glazunov et Mark Brand de Google Project Zero. Project Zero est une division de sécurité employée par Google, fondée en 2014. La mission principale de l’équipe est de découvrir les vulnérabilités du jour zéro, c’est-à-dire les vulnérabilités inconnues (ou non corrigées par) la partie qui devrait être intéressée par leur atténuation. « Heartbleed » est un de ces jours zéro exploit, qui a été signalé en privé par deux équipes de sécurité distinctes à OpenSSL. L'une de ces équipes de sécurité opérait sous Google et a finalement conduit à la création du Project Zero.

Ce bug ayant été divulgué par Google, cela porte le total à 11 vulnérabilités zero-day découvertes dans Google Chrome en 2021.