Le 7 décembre, Google a publié une mise à jour de sécurité pour son navigateur Chrome 96.0.4664.93 sur toutes les plates-formes de bureau prises en charge, ainsi que pour la version mobile sur Android.
La mise à jour contient principalement des correctifs de sécurité pour 20 problèmes de sécurité différents. Beaucoup d'entre eux ont une cote de risque « élevé », qui est la deuxième plus importante après « critique ».
La nouvelle version de Chrome est automatiquement livrée avec les installations Chrome actuelles sur les plates-formes prises en charge. Les utilisateurs peuvent obtenir la mise à jour plus rapidement en allant dans Menu> Aide> À propos de Google Chrome. Dans ce cas, une page d'informations avec le numéro de la version actuelle du navigateur s'ouvrira et une vérification et l'installation ultérieure des mises à jour disponibles commenceront.
Dans le cas de la version Android, la mise à jour est livrée via les services Google Play, donc lorsque vous ouvrez cette page dans Chrome mobile, le téléchargement des mises à jour n'est pas initialisé.
Le blog Chrome Releases répertorie tous les correctifs de sécurité identifiés par des chercheurs indépendants. La plupart des vulnérabilités ont été identifiées en novembre, plusieurs en octobre et une en août.
CVE-2021-4052 à haut risque : vulnérabilité d'utilisation post-mémoire dans les applications Web.
CVE-2021-4053 à haut risque : après l'exploitation des données libérées dans le shell frontal.
CVE-2021-4054 à haut risque : interface de sécurité non valide lors de la saisie semi-automatique.
CVE-2021-4055 à haut risque : vulnérabilité de débordement de la mémoire tampon dans les extensions.
CVE-2021-4056 à haut risque : vulnérabilité de non-concordance de type dans le module de chargement.
CVE-2021-4057 à haut risque : vulnérabilité d'exploitation des données de l'API post-libre.
CVE-2021-4058 à haut risque : vulnérabilité de débordement de la mémoire tampon dans ANGLE.
CVE-2021-4059 à haut risque : validation des données insuffisante dans le module de chargement.
CVE-2021-4061 à haut risque : vulnérabilité de non-concordance de type dans Javascript Engine V8.
CVE-2021-4062 à haut risque : vulnérabilité de débordement de la mémoire tampon dans BFCache.
CVE-2021-4063 à haut risque : après avoir libéré la vulnérabilité d'exploitation des données dans les outils de développement.
CVE-2021-4064 à haut risque : après la libération de la vulnérabilité d'exploitation des données dans l'outil de capture d'écran.
CVE-2021-4065 à haut risque : vulnérabilité d'exploitation des données après la libération dans le mécanisme de saisie semi-automatique.
CVE-2021-4066 à haut risque : vulnérabilité de débordement d'entier à faible limite dans ANGLE.
CVE-2021-4067 à haut risque : après avoir libéré l'exploitation des données dans le gestionnaire de fenêtres.
CVE-2021-4068 à faible risque : validation insuffisante des données non fiables sur la nouvelle page à onglet.
Aucune des vulnérabilités corrigées n'a reçu un indice de gravité critique. Google ne mentionne pas l'exploitation des vulnérabilités corrigées dans des attaques réelles.
Selon Google, la mise à jour pour Android inclut des améliorations de stabilité et de performances. Les problèmes de sécurité corrigés ne sont pas mentionnés.
La plupart des navigateurs basés sur Chromium sont également affectés par au moins certaines de ces vulnérabilités. D'autres navigateurs sur cette plate-forme, tels que Microsoft Edge ou Brave, recevront également bientôt des mises à jour de sécurité qui résolvent ces problèmes.
2021-12-07 17:47:25
Auteur: Vitalii Babkin