Tous les utilisateurs de Chrome sous Linux, macOS et Windows ont intérêt à aller vérifier la disponibilité de la mise à jour et à redémarrer leur navigateur. La nouvelle mouture corrige quatre vulnérabilités, dont une est 0-day et déjà exploitée. Estampillée CVE-2021-30554, elle est de type « use after free » et affecte la bibliothèque WebGL.
Une exploitation réussie peut mener à un plantage du navigateur, mais également à une exécution de code arbitraire ou de commandes quand les conditions sont réunies. Les trois autres brèches sont toutes de type « use after free » et concernent les composants Sharing, WebAudio et TabGroups. Elles ont le même niveau de dangerosité (élevé) mais n’ont aucune exploitation connue.
C’est la huitième fois depuis le début de l’année que Google doit colmater en urgence une faille 0-day déjà exploitée dans Chrome. La dernière avait à peine dix jours. Shane Huntley, à la tête du Threat Analysis Group de Google, indiquait alors dans une série de tweets qu’il était « heureux » de voir à quel point l’entreprise devenait meilleure dans la détection de ces failles. Il indiquait pourtant être « inquiet » par le rythme de ces découvertes.
Commentaires (6)
#1
Je me sens concerné par MA vie privée,
donc j’utilise un navigateur qui la respecte, et donc me respecte.
(Firefox)
#2
Hello,
et pour chromium, ça se passe comment?
Est-ce que chromium est aussi concerné?
#3
Oui, tous les navigateurs basés sur Chromium sont concernés par ce genre de failles et Vivaldi vient d’être mis à jour aussi !
#4
Il serait temps que les navigateurs améliorent la sécurité par ex en demandant la permission.
On parle de WebGL, pour avoir essayé, c’est très particulier et ne semble utilise que pour le jeu vidéo ou truc en 3D. Pourquoi WebGL est actif en permanence n’importe quel pub peut injecter sur un blog du code à exécuter sur la carte graphique, il me semble qu’une notif du type “Le site ‘blog à la con’ souhaite accéder au rendu 3D. Autoriser / Refuser / Plus d’infos”
Ça vaut également pour le WebAssembly.
On a l’impression que la sécurité n’est jamais gérée initialement dans les navigateurs et est toujours ajouté après coup quand ça a été exploité. Je me rappelle en 2003 tu avais accès à tout le navigateur depuis Javascript à toutes les fenêtres du navigateur, et tu pouvais même lire des fichiers locaux file://c:/windows/… Ce n’est que plus tard que la sécurité a été ajouté petit-à petit : d’abord bloquer l’accès à “file:” depuis js puis tout court, puis bloquer le cross-site (le javascript n’a accès qu’aux windows qui ont été ouverte dans cette page), plus récemment le CORS : le site accédé doit fournir au navigateur les sites autorisés à accéder à son propre contenu…
Les exemples ne manquent pas les nouvelles technos sont d’abord grandes ouvertes, abusées par les publicitaires, avant d’être rustinées pour être sécurisé. (Je pense aussi à l’API de notifications)
#5
Ou alors qu’ils arrêtent un jour de se prendre pour des OS complets.
#5.1
Je ne jette pas le bébé avec l’eau du bain WebGL est clairement utile, et ça me semble même nécessaire pour palier à la disparition des plugins.