Posté le août 21, 2021 à 21:36
DES CHERCHEURS METTENT EN GARDE LES UTILISATEURS DE GOOGLE CHROME CONTRE 7 FAILLES DE HAUTE GRAVITÉ
Les utilisateurs du navigateur Google Chrome ont été invités à mettre à jour leur navigateur pour éviter d’être victimes de la dernière attaque. Des hackers ont découvert une faille de sécurité massive sur le navigateur Google Chrome qui peut être exploitée.
Dans un avis de sécurité de haute gravité, l’Indian Computer Emergency Response Team (CERT-In) a déclaré que de multiples bugs ont été signalés dans Google Chrome qui peut être exploités par des hackers à distance pour compromettre un système.
Selon les chercheurs, le bug se trouve dans Google Chrome en raison d’une interface utilisateur de sécurité incorrecte, d’une erreur d’écriture inaccessible dans les groupes d’onglets ou d’une erreur de dépassement de tampon dans les signets.
iOS et iPad présentent des vulnérabilités actives
Le CERT-In a expliqué comment les acteurs malveillants pouvaient exploiter les vulnérabilités en exécutant un document rédigé de manière unique. Si cette exploitation est réussie, elle pourrait permettre au hacker de compromettre le système ciblé, notent les chercheurs.
Le CERT-In avait récemment averti les utilisateurs d’iPad et d’iPhone de mettre à jour leurs appareils vers iPadOS 14.7.1 et iOS 14.7.1 dès que possible. Selon les chercheurs, l’iPadOS et iOS présentent tous deux des vulnérabilités actives qui sont actuellement exploitées dans la nature.
Le CERT-In a également mis en garde contre le bug de corruption de mémoire récemment découvert. Les appareils concernés sont l’iPad Air 2, l’iPad Pro (tous les modèles), l’iPhone 6s et les dernières versions. Les autres incluent l’iPod touch (7e génération), l’iPad mini 4 et les versions ultérieures, et l’iPad 5e génération et les versions ultérieures.
L’équipe de Google a corrigé le dernier lot de failles il y a seulement deux semaines. La découverte de cette nouvelle vulnérabilité est donc la preuve que les navigateurs Google Chrome ne sont plus aussi sûrs qu’ils l’étaient.
La CISA (US Cybersecurity and Infrastructure Security Agency) a également conseillé aux administrateurs d’appliquer les mises à jour requises pour prévenir toute exploitation de leurs systèmes.
Les utilisateurs doivent être à l’affût d’autres mises à jour
Google veut déployer sa dernière mise à jour à tous les utilisateurs de Linux, Mac et Windows dans les jours et semaines à venir.
Srinivas Sista, programmeur technique de Google Chrome, a indiqué que neuf des failles de sécurité ont été corrigées dans la dernière mise à jour. Toutefois, parmi ces corrections, sept ont été jugées très efficaces par les chercheurs extérieurs à Google.
Manfred Paul, l’un des chercheurs en sécurité responsables de la découverte de deux failles de haute gravité, a déclaré qu’un hacker pourrait obtenir un accès non autorisé aux systèmes grâce à ces failles.
Le chercheur en sécurité, qui a reçu 21 000 dollars pour ses efforts, a décrit les vulnérabilités comme étant CVE-2021-30599 et CVE-2021-30598.
En analysant le risque, Manfred a déclaré que ce ne serait pas simple pour les hackers, car ils devraient exploiter un autre bug pour rester cachés de la sandbox de Chrome. Bien que cela puisse sembler impossible, certains hackers très expérimentés et techniques pourraient y parvenir, a-t-il déclaré.
La vulnérabilité spécifique n’a pas été divulguée dans son intégralité car elle pourrait donner aux cybercriminels une idée de la manière de l’exploiter. Mais le chercheur l’a expliquée en détail à l’équipe de Google pour lui permettre de la découvrir et de trouver des correctifs.
À l’instar d’autres géants de la technologie, Google a mis en place un programme de primes aux bugs qui récompense les hackers et les chercheurs en sécurité qui découvrent des vulnérabilités qui auraient autrement été exploitées par des acteurs malveillants. L’idée est de leur donner une petite récompense financière pour les encourager à rechercher des vulnérabilités dans les systèmes et les applications de Google. Cela rend les systèmes plus sûrs et évite à Google de nombreux maux de tête qui auraient pu être le cas s’ils avaient été exploités par de mauvais acteurs.
Il n’y a pas encore d’exploitation des failles dans la nature
Les chercheurs ont également déclaré qu’ils n’ont pas encore vu les vulnérabilités être exploitées dans la nature. Toutefois, cela ne signifie pas que tous les systèmes sont en sécurité. Les acteurs malveillants ayant connaissance de ces vulnérabilités, ils pourraient intensifier leurs efforts pour trouver des moyens de les exploiter. Par conséquent, la meilleure chose à faire pour les utilisateurs de Google Chrome, selon les chercheurs, est d’appliquer les mises à jour dès que possible.