février 5, 2021

Google corrige un Chrome zero-day activement exploité

Par admin2020

[ad_1]

20120314-épingle-de-revers-google-chrome-4sts-011.jpg

Google a publié aujourd’hui version 88.0.4324.150 du navigateur Chrome pour Windows, Mac et Linux. La version d’aujourd’hui ne contient qu’un seul correctif pour une vulnérabilité zero-day qui a été exploitée dans la nature.

Le jour zéro, qui a reçu l’identifiant de CVE-2021-21148, a été décrit comme un bogue de corruption de mémoire de «débordement de tas» dans le moteur JavaScript V8.

Google a déclaré que le bogue avait été exploité lors d’attaques dans la nature avant qu’un chercheur en sécurité nommé Mattias Buelens ait signalé le problème à ses ingénieurs le 24 janvier.

Deux jours après le rapport de Buelens, l’équipe de sécurité de Google a publié un rapport sur les attaques menées par des pirates nord-coréens contre la communauté de la cybersécurité.

Certaines de ces attaques consistaient à attirer des chercheurs en sécurité sur un blog où les attaquants exploitaient le navigateur zero-day pour exécuter des logiciels malveillants sur les systèmes des chercheurs.

Dans un rapport le 28 janvier, Microsoft a déclaré que les attaquants utilisaient très probablement un Chrome Zero-Day pour leurs attaques. Dans un rapport publié aujourd’hui, la société de sécurité sud-coréenne a déclaré avoir découvert un jour zéro d’Internet Explorer utilisé pour ces attaques également.

Google n’a pas précisé aujourd’hui si le zero-day CVE-2021-21148 avait été utilisé dans ces attaques, bien que de nombreux chercheurs en sécurité pensent que c’était le cas en raison de la proximité des deux événements.

Mais malgré la façon dont ce jour zéro a été exploité, les utilisateurs réguliers sont invités à utiliser la fonction de mise à jour intégrée de Chrome pour mettre à niveau leur navigateur vers la dernière version dès que possible. Cela peut être trouvé via le menu Chrome, Aidez-moi option, et À propos de Google Chrome section.

Avant les correctifs d’aujourd’hui, Google a traversé une période l’année dernière où il a corrigé cinq jours zéro de Chrome activement exploités en trois semaines.

[ad_2]

Source link