Sécurité

Google corrige en urgence deux failles zero-day dans Chrome


Alors qu’on attendait voir arriver la version Chrome 90, c’est la version 89.0.4389.128 qui est apparue hier. C’est une question d’urgence, car cette mise à jour corrige deux failles zero-day importantes, l’une dans le moteur de rendu Blink (CVE-2021-21206) et l’autre dans le moteur de Javascript V8 (CVE-2021-21220).

A découvrir aussi en vidéo :

Cette seconde faille a été trouvée à l’occasion du concours de hacking Pwn2Own par des chercheurs de Dataflow Security qui ont pu ainsi empocher la rondelette somme de 100 000 dollars. Le hic, c’est qu’un autre chercheur, Rajvardhan Agarwal, a développé en parallèle un code d’exploitation pour cette faille et l’a publié sur GitHub, tout en l’annonçant sur Twitter.

Heureusement, l’impact de cette publication-surprise était limité. Google avait déjà développé un patch, mais il n’était pas encore diffusé dans la version publique, ce qui est désormais chose faite. Par ailleurs, le code sur GitHub ne constitue pas une chaîne d’exploitation complète et ne permettait pas, en l’état, d’exécuter du code à distance. Mais cet événement impromptu a certainement bousculé un petit peu le planning de publication de Chrome. Bref, la version 90 ne devrait pas tarder.

Source: Hacker News




Source link