Google déploie une mise à jour de son navigateur Chrome pour ordinateur. Il s'agit toujours de la mouture 88 de fin janvier, mais avec un correctif pour une vulnérabilité de sécurité. Il y a un caractère d'urgence dans la mesure où il y a une exploitation active.
Le groupe de Mountain View indique avoir connaissance de rapports au sujet d'un exploit dans la nature pour cette vulnérabilité référencée CVE-2021-21148. Il était donc disponible avant le patch idoine, d'où une qualification de 0day.
Sans beaucoup de détails pour le moment, Google évoque une vulnérabilité de type dépassement de tas (lors de l'écriture dans une mémoire tampon) dans le moteur JavaScript V8 qui est utilisé par d'autres navigateurs à socle Chromium. Le bug a été rapporté le 24 janvier par un chercheur en sécurité tiers qui recevra une prime au montant à déterminer.
La vulnérabilité n'est pas cataloguée critique par Google mais importante. Il est probable qu'une telle vulnérabilité soit exploitée dans le cadre d'une attaque qui enchaîne d'autres vulnérabilités. Fin 2020, Google avait corrigé plusieurs 0day pour Chrome avec une exploitation dans des attaques.
De plus amples informations seront divulguées quand une majorité d'utilisateurs de Google Chrome aura reçu la mise à jour correctrice. La divulgation dépendra également de l'impact dans une bibliothèque logicielle tierce dont d'autres projets dépendent.
