Pour la deuxième fois ce mois-ci, Google a corrigé deux failles de sécurité inconnues, ou « zero-day », dans Chrome. Celles-ci sont déjà exploitées par des attaquants.
Google a publié une mise à jour sur le canal stable de Chrome pour les machines Windows, Mac et Linux afin de corriger deux failles de type « zero-day » affectant le navigateur le plus populaire du web.
Mettre à jour dès que possible
La mise à jour fait passer Chrome à la version 94.0.4606.71. En raison des attaques, il est prudent pour les organisations et les consommateurs de faire la mise à jour dès qu’elle est disponible. Google indique que la mise à jour sera déployée dans les « jours/semaines à venir ».
Elle comprend quatre correctifs de sécurité pour Chrome, dont les deux failles zero-day. L’une d’entre elles, une faille de haute gravité connue sous le nom de CVE-2021-37975, provient du moteur JavaScript V8 de Google. Elle a été signalée par un chercheur anonyme.
Une autre faille de gravité moyenne, dénommée CVE-2021-37976, est une « fuite d’informations dans le noyau » et a été signalée par le groupe d’analyse des menaces (TAG) de Google avec l’aide des chercheurs en sécurité de Google Project Zero.
Le dixième correctif zero-day de l’année
« Google est conscient que les exploits pour CVE-2021-37975 et CVE-2021-37976 ont été diffusés », indique le géant du web dans ses notes de publication.
Avec ces deux dernières failles, Google a corrigé 12 failles zero-day dans Chrome depuis le début de l’année 2021 – et deux dans Chrome depuis le 13 septembre – marquant ainsi son dixième correctif de type « zero-day » de l’année.
TAG est le groupe de Google spécialisé dans la traque des groupes d’attaquants soutenus par des gouvernements. Il a déjà mis au jour des activités de pirates nord-coréens et des attaques contre iOS et les navigateurs grand public.
Les bugs V8 sont particulièrement dangereux
Samuel Groß, chercheur du Google Project Zero, a récemment donné le coup d’envoi d’un projet visant à résoudre les bugs V8, qui, selon lui, sont particulièrement dangereux.
« Les bugs V8 permettent généralement la construction d’exploits exceptionnellement puissants », avertit-il. Ils sont également résistants aux mesures d’atténuation modernes assistées par le matériel.
Les détails des deux nouveaux bugs de Chrome n’ont pas encore été ajoutés au suivi des « zero-day in the wild » du Google Project Zero. Après l’ajout de ces bugs, la liste comprendra un total de 48 failles de type « zero-day » qui ont été exploitées par des attaquants depuis le début de l’année. Ces bugs ont affecté des logiciels et du matériel provenant de Google, Apple, Adobe, Microsoft, Qualcomm et Arm.
Croissance des failles zero-day
Le Project Zero de Google et le TAG indiquent qu’il y a eu une augmentation des exploits de type « zero-day » cette année, mais ce que cela signifie en termes d’attaque et de défense est moins clair.
« Il n’y a pas de relation univoque entre le nombre de failles zero-day utilisés par des attaquants et le nombre de failles zero-day détectées et divulguées. Les attaquants à l’origine des exploits zero-day veulent généralement qu’ils restent cachés et inconnus, car c’est ainsi qu’ils sont le plus utiles », expliquent les chercheurs en sécurité de Google.
L’augmentation du nombre de failles zero-day pourrait s’expliquer par le fait que les défenseurs parviennent de mieux en mieux à les identifier et à les détecter. Mais cela pourrait aussi être dû au fait que les attaquants les utilisent plus fréquemment parce qu’il y a plus de plateformes à attaquer, et plus d’entreprises commerciales vendant aux gouvernements l’accès aux failles zero-day, ce qui réduit le besoin de compétences techniques pour les utiliser.
Source : ZDNet.com
