Google a mis à jour Chrome vers la version 96.0.4664.110 pour Windows, Mac et Linux sur un canal stable en raison d’une vulnérabilité zero-day hautement sécurisée que la société a confirmée comme étant exploitée à l’état sauvage. Selon l’annonce, la mise à jour peut prendre un certain temps pour atteindre tout le monde, mais nous avons pu obtenir la mise à jour immédiatement sur notre système de test.
La mise à jour contient cinq correctifs, que vous pouvez voir ci-dessous, ainsi que la récompense de divulgation correspondante.
- [$ NA] [ 1263457 ] Critique CVE-2021-4098 : validation des données insuffisante dans Mojo. Cela a été annoncé par Sergey Glazunov de Google Project Zero, 2021-10-26
- [$ 5000] [ 1270658 ] Élevé CVE-2021-4099 : À utiliser après une utilisation gratuite dans Swiftshader. Rapporté par Aki Helin de Solita le 16 novembre 2021.
- [$ 5000] [ 1272068 ] Élevé CVE-2021-4100 : problème de cycle de vie des objets dans ANGLE. Rapporté par Aki Helin de Solita 2021-11-19
- [$ TBD] [ 1262080 ] Élevé CVE-2021-4101 : débordement de la mémoire tampon dans Swiftshader. Cela a été rapporté par Abraruddin Khan et Omayr le 21 octobre 2021.
- [$ TBD] [ 1278387 ] High CVE-2021-4102 : utilisation après utilisation gratuite en V8. Rapporté par Anonyme le 2021-12-09.
Google note également que « l’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce que la plupart des utilisateurs mettent à jour le correctif. Nous conserverons également les contraintes si le bogue existe dans une bibliothèque tierce dont dépendent d’autres projets de la même manière, mais pas encore « pas encore corrigé ». qui fait probablement référence à CVE-2021-4102 et, selon le géant de la recherche, est déjà activement exploité dans la nature.
Il s’agit de la 16e vulnérabilité zero-day de ce type que la société a corrigée cette année, ce qui n’est pas rare non plus, selon Bleeping Computer, qui l’a remarqué pour la première fois. Les 15 jours zéro restants, corrigés en 2021, sont listés ci-dessous :
- CVE-2021-21148 – 4 février
- CVE-2021-21166 – 2 mars
- CVE-2021-21193 – 12 mars
- CVE-2021-21220 – 13 avril
- CVE-2021-21224 – 20 avril
- CVE-2021-30551 – 9 juin
- CVE-2021-30554 – 17 juin
- CVE-2021-30563 – 15 juillet
- CVE-2021-30632 et CVE-2021-30633 – 13 septembre.
- CVE-2021-37973 – 24 septembre
- CVE-2021-37976 et CVE-2021-37975 – 30 septembre.
- CVE-2021-38000 et CVE-2021-38003 – 28 octobre
Vous vous souviendrez peut-être également que lors de la sortie de Chrome 96 le mois dernier, il a été découvert que Chrome 97 ne serait pas disponible avant la première semaine de janvier, ce qui rend la mise à jour de la version actuelle encore plus importante.
Vous pouvez vérifier si une mise à jour est disponible en allant dans le menu Chrome> Aide> À propos de Google Chrome. Le navigateur recherchera également automatiquement les dernières mises à jour et, si disponible, installera et fournira une option de redémarrage, après quoi la mise à jour sera appliquée.
Source : Google via Bleeping Computer
Laisser un commentaire