Attention nos chers lecteurs, si vous utilisez le navigateur Google Chrome
sur vos ordinateurs Windows, Mac ou Linux, vous devez immédiatement mettre à
jour votre logiciel de navigation Web vers la dernière version publiée par
Google plus tôt dans la journée.
Google a publié aujourd'hui la version 86.0.4240.111 de Chrome pour corriger plusieurs
problèmes de sécurité de haute gravité, y compris une vulnérabilité zero-day
qui a été exploitée dans la nature par des attaquants pour détourner des
ordinateurs ciblés.
Suivi comme CVE-2020-15999 , la vulnérabilité est activement exploitée est
un type de faille de corruption de mémoire appelée débordement de mémoire
tampon dans Freetype, une bibliothèque de développement de logiciels open
source populaire pour le rendu des polices fournie avec Chrome.
La vulnérabilité a été découverte et signalée par le chercheur en sécurité
Sergei Glazunov de Google Project Zero le 19 octobre et est soumise à un
délai de divulgation publique de sept jours en raison de l'exploitation
active de la faille.
Glazunov a également immédiatement signalé la vulnérabilité zero-day aux
développeurs FreeType, qui ont ensuite développé un correctif d'urgence pour
résoudre le problème le 20 octobre avec la sortie de FreeType 2.10.4.
Sans révéler les détails techniques de la vulnérabilité, le responsable
technique du Project Zero de Google, Ben Hawkes, a averti sur Twitter que, bien que l'équipe n'ait repéré qu'un exploit ciblant les
utilisateurs de Chrome, il est possible que d'autres projets utilisant
FreeType soient également vulnérables et qu'il soit conseillé de le déployer
Le correctif inclus dans la version 2.10.4 de FreeType.
"Alors que nous n'avons vu qu'un exploit pour Chrome, les autres
utilisateurs de freetype devraient adopter le correctif discuté ici:
https://savannah.nongnu.org/bugs/?59308 - le correctif est également dans la
version stable d'aujourd'hui de FreeType 2.10.4 », Écrit Hawkes.
Selon les détails partagés par Glazunov, la vulnérabilité existe dans la fonction de FreeType
"Load_SBit_Png", qui traite les images PNG incorporées dans les polices. Il
peut être exploité par des attaquants pour exécuter du code arbitraire
simplement en utilisant des polices spécialement conçues avec des images PNG
intégrées. Glazunov a également publié un fichier de polices avec un exploit
de preuve de concept.
Google a publié Chrome 86.0.4240.111 en tant que version "stable", qui est
disponible pour tous les utilisateurs, , indiquant que la société a connaissance d'informations selon sur "un exploit pour
CVE-2020-15999 ,mais n'a pas révélé de détails supplémentaires sur les
attaques actives.
Outre la vulnérabilité FreeType zero-day, Google a également corrigé quatre
autres failles dans la dernière mise à jour de Chrome, dont trois sont des
vulnérabilités à haut risque: un bug de mise en œuvre inapproprié dans
Blink, une utilisation dans PDFium gratuit et une utilisation à risque moyen
après un problème dans la fonction d'impression du navigateur.
Bien que le navigateur Web Chrome informe automatiquement les utilisateurs
de la dernière version disponible, il est recommandé aux utilisateurs de
déclencher manuellement le processus de mise à jour en accédant à « Aide →
À
propos de Google Chrome »
dans le menu.
COMMENTS