Le correctif zero-day de Chrome contient 14 correctifs de sécurité importants

  • Publications de Google Avis de sécurité Chrome, qui inclut un correctif zero-day pour le moteur JavaScript de Chrome.
  • CVE-2021-30551 obtient une note élevée, avec un seul bogue qui n'est pas dans la nature, exploité par des tiers malveillants.
  • Selon Google, l'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soient mis à jour avec un correctif.
  • le Le bogue CVE-2021-30551 est répertorié par Google comme confusion de type dans V8, ce qui signifie que la sécurité JavaScript peut être contournée pour l'exécution de code non autorisé.
Chrome zéro jour

Les utilisateurs s'attardent toujours sur le précédent Microsoft Annonce du Patch Tuesday, ce qui était plutôt mauvais à leur avis, avec six vulnérabilités dans la nature corrigées.

Sans parler de celui enfoui au plus profond des vestiges du code de rendu Web MSHTML d'Internet Explorer.

14 correctifs de sécurité dans une seule mise à jour

Désormais, Google publie Avis de sécurité Chrome, que vous voudrez peut-être savoir, inclut un correctif zero-day (CVE-2021-30551) pour le moteur JavaScript de Chrome, parmi ses 14 autres correctifs de sécurité officiellement répertoriés.

Pour ceux qui ne connaissent pas encore le terme, Jour zéro C'est un temps imaginatif, car ce type de cyberattaque se produit en moins d'une journée depuis la prise de conscience de la faille de sécurité.

Par conséquent, cela ne donne pas aux développeurs suffisamment de temps pour éradiquer ou atténuer les risques potentiels associés à cette vulnérabilité.

Semblable à Mozilla, Google regroupe également d'autres bogues potentiels qu'il a trouvés à l'aide de méthodes génériques de recherche de bogues, répertoriés comme Divers correctifs provenant d'audits internes, de fuzzing et d'autres initiatives.

Les fuzzers peuvent produire, voire des millions, des centaines de millions d'entrées de test sur la durée de l'essai.

Cependant, les seules informations dont ils ont besoin pour stocker sont dans les cas qui provoquent un mauvais comportement ou un plantage du programme.

Cela signifie qu'ils peuvent être utilisés plus tard dans le processus, comme points de départ pour les chasseurs de bogues humains, ce qui permettra également d'économiser beaucoup de temps et de main-d'œuvre.

Les bugs sont exploités dans la nature

Google commence par mentionner le bug zero-day, déclarant qu'ils sont] conscients qu'un exploit pour CVE-2021-30551 existe dans la nature.

Ce bogue particulier est répertorié comme confusion de type dans V8, où V8 représente la partie de Chrome qui exécute le code JavaScript.

La confusion de type signifie que vous pouvez fournir à V8 un élément de données, tout en incitant JavaScript à le gérer comme s'il s'agissait de quelque chose de totalement différent, contournant potentiellement la sécurité ou même exécutant un code non autorisé.

Comme la plupart d'entre vous le savent peut-être, les failles de sécurité JavaScript qui peuvent être déclenchées par du code JavaScript intégré dans une page Web, entraînent le plus souvent des exploits RCE, voire l'exécution de code à distance.

Cela étant dit, Google ne précise pas si le bogue CVE-2021-30551 peut être utilisé pour l'exécution de code à distance hardcore, ce qui signifie généralement que les utilisateurs sont vulnérables aux cyberattaques.

Juste pour avoir une idée de la gravité de cette situation, imaginez que vous surfez sur un site Web, sans réellement cliquer sur aucun popups, pourraient permettre à des tiers malveillants d'exécuter du code de manière invisible et d'implanter des logiciels malveillants sur votre ordinateur.

Ainsi, CVE-2021-30551 n'obtient qu'une note élevée, avec simplement un bogue qui n'est pas dans la nature (CVE-2021-30544), classé comme critique.

Il se pourrait que le bogue CVE-2021-30544 ait la mention critique qui lui soit attribuée car il pourrait être exploité pour RCE.

Cependant, rien ne suggère que quelqu'un d'autre que Google, ainsi que les chercheurs qui l'ont signalé, sachent comment le faire, pour le moment.

La société mentionne également que l'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soient mis à jour avec un correctif.

Quelle est votre opinion sur le dernier correctif Zero Day de Google? Partagez vos réflexions avec nous dans la section commentaires ci-dessous.

RÉSOLU: Impossible de supprimer Google Chrome

RÉSOLU: Impossible de supprimer Google ChromeGuides De Navigation WebGoogle Chrome

S'il vous est impossible de supprimer Google Chrome, assurez-vous qu'aucun processus lié ne soit pas en cours.Même les processus d'arrière-plan peuvent faire en sorte qu'il soit impossible de désin...

Lire la suite
Edge est meilleur que Chrome, Microsoft lance un nouveau test pour le prouver

Edge est meilleur que Chrome, Microsoft lance un nouveau test pour le prouverProblèmes De Périphérie MicrosoftGoogle Chrome

Vous avez des difficultés avec votre navigateur actuel? Mise à niveau vers une meilleure: OpéraVous méritez un meilleur navigateur! 350 millions de personnes utilisent Opera quotidiennement, une ex...

Lire la suite
Opera GX vs Google Chrome: performances, conception et sécurité

Opera GX vs Google Chrome: performances, conception et sécuritéNavigateur Web OperaGoogle Chrome

Si vous avez du mal à choisir entre Oprea GX et Chrome, notre comparaison est idéale pour les joueurs et les utilisateurs occasionnels.Chrome est un choix populaire parmi les utilisateurs de PC Win...

Lire la suite