Google déploie une mise à jour de son navigateur Chrome afin de corriger cinq vulnérabilités de sécurité. Parmi celles-ci, une vulnérabilité CVE-2021-4102 pour laquelle un exploit existe dans la nature.
" L'accès aux détails des bugs est restreint jusqu'à ce qu'une majorité d'utilisateurs ait reçu un correctif. Nous maintiendrons également des restrictions si le bug existe dans une bibliothèque tierce dont d'autres projets dépendent de manière similaire, mais qui n'a pas encore été corrigée ", rappelle comme à chaque fois Google.
Pour le moment, il y a donc peu de détails si ce n'est que la vulnérabilité a été signalée le 9 décembre par un chercheur en sécurité qui a souhaité conserver l'anonymat. Elle affecte le moteur JavaScript V8. Il est question d'un bug User After Free qui peut faire référence à un problème de réinitialisation d'un pointeur après la libération de la mémoire.
Seize 0day pour Chrome cette année
Avec cette vulnérabilité, cela porte à 16 le nombre de vulnérabilités 0day ayant concerné Google Chrome depuis le début de cette année, à savoir avec une exploitation active dans des attaques avant la disponibilité d'un correctif.
Si la vulnérabilité CVE-2021-4102 n'est pas annoncée critique en elle-même, c'est par contre le cas d'une vulnérabilité CVE-2021-4098 signalée par un hacker du projet Zero de Google et pour laquelle il n'y a pas de rapport d'exploitation.
Un niveau de dangerosité critique implique qu'en exploitant la vulnérabilité, un attaquant peut exécuter du code arbitraire sur la plateforme sous-jacente avec les privilèges de l'utilisateur dans le cadre du cours normal de la navigation.
Il est fait allusion à une vulnérabilité en lien avec une validation insuffisante des données dans Mojo. Pour Chromium, Mojo est un framework de communication inter-processus.
