Google a publié des correctifs pour deux vulnérabilités plus graves de Chrome, ce qui a occupé quelques semaines pour son équipe de sécurité. Bien que l'équipe de sécurité de Google Project Zero ait identifié des exploits récemment découverts, des sources anonymes ont détecté les deux nouveaux bogues. Les nouvelles vulnérabilités sont suivies sous les noms CVE-2020-16013 et CVE-2020-16017, mais il n'est pas encore clair si elles sont utilisées ensemble dans le cadre d'une chaîne d'exploitation ou déployées individuellement. Cependant, Google a confirmé des rapports "selon lesquels des exploits pour CVE-2020-16013 et CVE-2020-16017 existent dans la nature". La vulnérabilité CVE-2020-16013 a été décrite comme étant liée à une implémentation incorrecte dans V8, le composant Chrome qui gère le code JavaScript. Alors que CVE-2020-16017 est un bogue de corruption de mémoire qui affecte le composant Chrome utilisé pour isoler les données d'un site Web d'un autre.
un autre jour zéro
On ne sait pas encore à quel point ces deux vulnérabilités présentent des risques pour les utilisateurs réguliers, mais Google pensait certainement qu'elles représentaient une menace suffisante pour agir rapidement. Le géant de la technologie a appris les bogues il y a moins d'une semaine. Google s'est beaucoup entraîné à publier des correctifs au cours des dernières semaines. Au 20 octobre, Google a publié cinq correctifs zero-day (dont les deux plus récents). Comme pour ces bogues précédents, les utilisateurs de Chrome doivent simplement mettre à jour leur navigateur Web vers la dernière version pour rester protégés. Cependant, pour ceux qui n'ont pas mis à jour Chrome depuis un moment, il n'y a probablement pas lieu de paniquer. Les exploits zero-day sont généralement déployés contre des cibles sélectionnées, de sorte que l'utilisateur général n'a pas à se précipiter trop fort pour installer les derniers correctifs de sécurité. Via ZDNet