Des mises à jour de Chrome et Firefox corrigent de graves bugs de sécurité

Benoit Grunemwald
Par Benoît Grunemwald Publié le 19 janvier 2021 à 4h19
Connexion Internet Coronavirus Confinement
20%Plus de 20% des internautes utilisent le même mot passe sur plusieurs sites.

L'exploitation réussie de certaines de ces failles pourrait permettre aux attaquants de prendre le contrôle de systèmes vulnérables

Google et Mozilla corrigent de graves vulnérabilités de leurs navigateurs web respectifs, Chrome et Firefox, qui pourraient être exploitées pour permettre à des attaquants de prendre le contrôle des systèmes des utilisateurs. Les correctifs de sécurité seront déployés sur Windows, Mac et Linux au cours des prochaines semaines. Il est important de noter qu’aucune des failles n’a été détectée comme étant exploitée à ce jour.

Chrome

La nouvelle version stable de Chrome, 87.0.4280.141, apporte 16 correctifs de sécurité ; et bien que le géant technologique ne divulgue pas les détails de tous ces correctifs avant que la majorité de sa base d’utilisateurs n’ait reçu les mises à jour, il a mis en évidence des correctifs pour 13 vulnérabilités qui ont été signalées par des chercheurs externes.

Douze failles ont été classées comme étant à haut risque, tandis qu’une a été déterminée comme étant de gravité moyenne. La plupart des failles de haute gravité sont des bugs « use-after-free », c’est-à-dire des failles de corruption de la mémoire, résidant dans divers composants de Chromium. Ils pourraient être exploités si un utilisateur se rendait ou était redirigé vers une page web spécialement conçue pour permettre l’exécution de code à distance dans le contexte du navigateur, a noté le Centre pour la sécurité sur Internet.

Google a versé plus de 110?000 dollars US aux chercheurs en sécurité pour avoir découvert et signalé les vulnérabilités.

La Cybersecurity and Infrastructure Security Agency (CISA) a publié un avis de sécurité invitant les utilisateurs et les administrateurs système à mettre à jour le navigateur?: « Google a publié la version 87.0.4280.141 de Chrome pour Windows, Mac et Linux. Cette version traite des vulnérabilités qu’un attaquant pourrait exploiter pour prendre le contrôle d’un système affecté. »

Firefox

Pendant ce temps, Mozilla a publié une mise à jour de sécurité pour remédier à une faille de sécurité jugée critique qui est suivie comme CVE-2020-16044 et affecte les versions de navigateur antérieures à Firefox 84.0.2, Firefox pour Android 84.1.3, et Firefox ESR 78.6.1.

« Un acteur malveillant aurait pu modifier un morceau de COOKIE-ECHO dans un paquet SCTP d’une manière qui aurait pu aboutir à une utilisation libre. Nous supposons qu’avec suffisamment d’efforts, il aurait pu être exploité pour exécuter un code arbitraire », déclare Mozilla dans sa description du vecteur d’attaque.

Le protocole SCTP (Stream Control Transmission Protocol) est utilisé pour transporter plusieurs flux de données en même temps entre deux machines connectées au même réseau. La faille de Firefox réside dans la façon dont le protocole traite les données des cookies.

La CISA a également pris note de cette vulnérabilité et a publié un avis invitant les utilisateurs et les administrateurs à mettre à jour leur logiciel afin de protéger leurs systèmes contre d’éventuelles attaques.

Vous êtes en effet fortement encouragés à mettre à jour les navigateurs à leurs versions respectives les plus récentes dès que possible. Si vous avez activé les mises à jour automatiques, vos navigateurs devraient se mettre à jour d’eux-mêmes.

Benoit Grunemwald

Expert en Cyber sécurité pour ESET France

Suivez-nous sur Google News Economie Matin - Soutenez-nous en nous ajoutant à vos favoris Google Actualités.

Aucun commentaire à «Des mises à jour de Chrome et Firefox corrigent de graves bugs de sécurité»

Laisser un commentaire

* Champs requis