Le correctif zero-day de Chrome contient 14 correctifs de sécurité importants

Les utilisateurs s'attardent toujours sur le précédent Microsoft Annonce du Patch Tuesday, ce qui était plutôt mauvais à leur avis, avec six vulnérabilités dans la nature corrigées.

Sans parler de celui enfoui au plus profond des vestiges du code de rendu Web MSHTML d'Internet Explorer.

14 correctifs de sécurité dans une seule mise à jour

Désormais, Google publie Avis de sécurité Chrome, que vous voudrez peut-être savoir, inclut un correctif zero-day (CVE-2021-30551) pour le moteur JavaScript de Chrome, parmi ses 14 autres correctifs de sécurité officiellement répertoriés.

Pour ceux qui ne connaissent pas encore le terme, Jour zéro C'est un temps imaginatif, car ce type de cyberattaque se produit en moins d'une journée depuis la prise de conscience de la faille de sécurité.

Par conséquent, cela ne donne pas aux développeurs suffisamment de temps pour éradiquer ou atténuer les risques potentiels associés à cette vulnérabilité.

Semblable à Mozilla, Google regroupe également d'autres bogues potentiels qu'il a trouvés à l'aide de méthodes génériques de recherche de bogues, répertoriés comme Divers correctifs provenant d'audits internes, de fuzzing et d'autres initiatives.

Les fuzzers peuvent produire, voire des millions, des centaines de millions d'entrées de test sur la durée de l'essai.

Cependant, les seules informations dont ils ont besoin pour stocker sont dans les cas qui provoquent un mauvais comportement ou un plantage du programme.

Cela signifie qu'ils peuvent être utilisés plus tard dans le processus, comme points de départ pour les chasseurs de bogues humains, ce qui permettra également d'économiser beaucoup de temps et de main-d'œuvre.

Les bugs sont exploités dans la nature

Google commence par mentionner le bug zero-day, déclarant qu'ils sont] conscients qu'un exploit pour CVE-2021-30551 existe dans la nature.

Ce bogue particulier est répertorié comme confusion de type dans V8, où V8 représente la partie de Chrome qui exécute le code JavaScript.

La confusion de type signifie que vous pouvez fournir à V8 un élément de données, tout en incitant JavaScript à le gérer comme s'il s'agissait de quelque chose de totalement différent, contournant potentiellement la sécurité ou même exécutant un code non autorisé.

Comme la plupart d'entre vous le savent peut-être, les failles de sécurité JavaScript qui peuvent être déclenchées par du code JavaScript intégré dans une page Web, entraînent le plus souvent des exploits RCE, voire l'exécution de code à distance.

Cela étant dit, Google ne précise pas si le bogue CVE-2021-30551 peut être utilisé pour l'exécution de code à distance hardcore, ce qui signifie généralement que les utilisateurs sont vulnérables aux cyberattaques.

Juste pour avoir une idée de la gravité de cette situation, imaginez que vous surfez sur un site Web, sans réellement cliquer sur aucun popups, pourraient permettre à des tiers malveillants d'exécuter du code de manière invisible et d'implanter des logiciels malveillants sur votre ordinateur.

Ainsi, CVE-2021-30551 n'obtient qu'une note élevée, avec simplement un bogue qui n'est pas dans la nature (CVE-2021-30544), classé comme critique.

Il se pourrait que le bogue CVE-2021-30544 ait la mention critique qui lui soit attribuée car il pourrait être exploité pour RCE.

Cependant, rien ne suggère que quelqu'un d'autre que Google, ainsi que les chercheurs qui l'ont signalé, sachent comment le faire, pour le moment.

La société mentionne également que l'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soient mis à jour avec un correctif.

Quelle est votre opinion sur le dernier correctif Zero Day de Google? Partagez vos réflexions avec nous dans la section commentaires ci-dessous.