Google a déployé hier une mise à jour visant à corriger trois bugs de sécurité ainsi qu’une vulnérabilité zero-day exploitée sur Chrome. Une menace zero-day fait référence à une faille de sécurité détectée dans un logiciel qui est ensuite exploitée avant la mise à disposition d’un correctif par le créateur du logiciel. Pour le moment, Google n’a pas encore donné de détails concernant la nature des attaques réalisées à travers ces bugs, mais la découverte de ces failles de sécurité remonte à la semaine dernière. Elles ont été identifiées par Clément Lecigne, un membre du groupe d’analyse des menaces de Google, une division spécialisée dans la surveillance des groupes d’acteurs de menaces.

La menace zero-day découverte le 18 février est connue sous l’identifiant CVE-2020-6418 et a été classée que comme étant « une confusion de type dans V8 ». V8 fait partie des fonctionnalités de Chrome qui gère le traitement du code JavaScript. La confusion de type quant à elle désigne des bugs de codages qui entrainent des erreurs logiques dans la mémoire d’une application pour permettre à un pirate d’exécuter du code malveillant illimité dans cette application. Les correctifs pour cette vulnérabilité zero-day ont été publiés dans la version 80.03987.122 de Chrome. Pour le moment, ils ne sont disponibles que pour les utilisateurs Windows, Linux et Mac. Les utilisateurs de Chrome OS, iOS et Android devront encore attendre.

Ce n’est pas la première fois que les experts en sécurité de Google découvrent une vulnérabilité de type zero-day au niveau de Chrome. En effet, il s’agit du troisième cas aux cours de la dernière année. La première faille zero-day CVE-2019-5786 découverte dans Chrome 72.0.36.26.121 a été corrigée en mars 2019 par Google tandis que la deuxième faille zero-day CVE-2019-13720 dans Chrome 78.0.3904.8 a été corrigée en novembre.

À lire aussi La nouvelle version du navigateur Edge de Microsoft arrive sur Windows 10 et permet d’installer des extensions Chrome