Google a corrigé une vulnérabilité de type “zero-day” dans son naviguateur Chrome qui est actuellement exploitée. Le nouveau correctif fait partie de la dernière mise à jour de Chrome qui porte la version 80.0.3987.122 pour les utilisateurs de Windows, Mac et Linux. Cette mise à jour est la troisième de la série de correctifs “zero-day” que Google a apportés au cours de l’année dernière. La première vulnérabilité de type “zero-day” a été découverte et corrigée en mars 2019. Elle faisait partie de la version 72.0.3626.121 de Chrome.
Antti Tikkanen du groupe d’analystes des menaces de Google a publié un tweet mardi pour annoncer la correction de la vulnérabilité “zero-day” qui est suivie sous CVE-2020-6418. L’équipe Chrome a également mentionné séparément dans un article du blog que la vulnérabilité a été signalée par Clement Lecigne du groupe d’analyse des menaces de Google le 18 février.
“Google a connaissance de rapports indiquant qu’un exploit pour CVE-2020-6418 existe dans la nature”, a écrit la société dans le billet de blog.
Il n’est pas clair si des parties malveillantes ont exploité la faille de sécurité pour affecter les utilisateurs de Chrome. Toutefois, la vulnérabilité a été décrite comme une “confusion de type dans V8”.
Comme l’a noté Catalin Cimpanu de ZDNet, V8 est un composant de Google Chrome qui est responsable du traitement du code JavaScript. Une liste élaborée par la communauté sur le site web de la Common Weakness Enumeration (CWE) indique qu’une “confusion de type” fait référence au programme qui alloue ou initialise une ressource en utilisant un type, mais il est ensuite trompé pour accéder à cette ressource en utilisant un type qui ne correspond pas au type d’origine. De plus, un bogue de type confusion de type pourrait permettre à des attaquants d’exécuter un code malveillant sans restriction dans une application.
La version 80.0.3987.122 de Chrome qui inclut la correction de la faille du jour zéro récemment découverte est disponible en téléchargement pour les utilisateurs de Windows, Mac et Linux. La mise à jour contient également des correctifs pour deux autres vulnérabilités qui avaient une gravité “élevée”.
En mars de l’année dernière, Google a corrigé la faille du jour zéro répertoriée sous le numéro CVE-2019-5786, également signalée par Clement Lecigne du groupe d’analyse des menaces. La deuxième vulnérabilité de type “zero-day” que le géant de la recherche a corrigée au cours de l’année dernière a été suivie par un identifiant CVE-2019-13720 qui a été corrigé en novembre.