Google Chrome : correction de 0day sur ordinateur et Android

Le par Jérôme G.  |  1 commentaire(s)
Chrome-logo

Petite loi des séries pour Google Chrome sur ordinateur avec la correction d'une nouvelle vulnérabilité 0day. Chrome sur Android a aussi droit à la correction d'une vulnérabilité activement exploitée dans la nature.

Google diffuse une mise à jour de son navigateur Chrome. Elle corrige une dizaine de vulnérabilités de sécurité pour Google Chrome sur ordinateur..

Une vulnérabilité CVE-2020-16009 a été découverte par des membres du Threat Analysis Group et de Project Zero de Google. Elle n'est pas encore détaillée, mais Google évoque une implémentation inappropriée dans V8.

V8 est le moteur JavaScript open source développé par le projet Chromium et que l'on retrouve notamment dans Google Chrome. Google fait mention de l'existence d'un exploit dans la nature pour la vulnérabilité CVE-2020-16009 qui est donc 0day.

Il faut ainsi comprendre qu'avant la disponibilité d'un correctif, la vulnérabilité a fait l'objet d'une exploitation active. Reste à savoir par quel type d'attaquant.

Rebelote en deux semaines

Le 20 octobre, Google avait déjà publié une mise à jour de Chrome apportant une correction d'une vulnérabilité 0day identifiée en tant que CVE-2020-15999. De type dépassement de tampon, elle est en rapport avec la bibliothèque logicielle FreeType pour les polices de caractères.

La semaine dernière, Google (Project Zero) a révélé que la vulnérabilité CVE-2020-15999 est exploitée en association avec une vulnérabilité CVE-2020-17087 affectant Windows et en lien avec son utilisation de fonctions cryptographiques (le Kernel Cryptography Driver ; cng.sys).

Ensemble, les deux vulnérabilités permettent l'exécution de code malveillant dans Chrome et un échappement de la sandbox du navigateur à la suite d'une élévation de privilèges. Pour la vulnérabilité CVE-2020-17087, une correction est attendue à l'occasion du prochain Patch Tuesday de Microsoft, le 10 novembre.

chrome-android
À noter que Google Chrome sur Android n'est pas épargné avec une mise à jour qui va corriger une vulnérabilité CVE-2020-16010 pour laquelle Google (Project Zero) signale également l'existence d'un exploit dans la nature. Un dépassement de tas dans l'interface utilisateur sur Android.

Pour CVE-2020-16010, un responsable de Project Zero précise un échappement de la sandbox de Chrome pour Android.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
sansimportance offline Hors ligne VIP icone 9358 points
Le #2112262
Quand google bouche une faille, elle est bouché aussi dans les navigateurs à base de chromium (comme edge par exemple ?)
icone Suivre les commentaires
Poster un commentaire