Plus tôt dans la journée, Google a diffusé un correctif non planifié pour les navigateurs Chrome sur les plateformes Windows, macOS et Linux. Il corrigera la vulnérabilité de type « zero-day » à haut risque CVE-2021-4102 qui est actuellement largement utilisée.
Patch pour Chrome
Google a révélé que la vulnérabilité appartient à Use-After-Free et provient du moteur JavaScript V8 de Chrome. Elle est due à l’utilisation incorrecte de la mémoire dynamique pendant le fonctionnement du programme.
Lisez aussi: Extensions Google Chrome les plus populaires en 2021
Si après avoir libéré l’emplacement mémoire, le programme ne termine pas le nettoyage du pointeur qui y pointe, l’attaquant peut utiliser la vulnérabilité pour compléter l’intrusion du programme.
Après cela, l’attaquant peut exécuter du code arbitraire et sortir du contrôle de la sandbox de sécurité du navigateur Chrome.
Toutefois, tant que la plupart des utilisateurs n’auront pas effectué la mise à jour de la version, Google ne divulguera pas les principes de déclenchement spécifiques et les détails de la vulnérabilité.
Les utilisateurs du navigateur Chrome doivent effectuer la mise à jour vers la version 96.0.4664.110 immédiatement.
Corrections de sécurité et récompenses
Remarque : L’accès aux détails et aux liens relatifs aux bogues peut être restreint jusqu’à ce qu’une majorité d’utilisateurs aient reçu un correctif. Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de manière similaire, mais qui n’a pas encore été corrigée.
Bien que le correctif Chrome ait un long journal des modifications, il corrige principalement 5 bugs :
[$NA][1263457] Critique CVE-2021-4098 : Validation des données insuffisante dans Mojo. Rapporté par Sergei Glazunov de Google Project Zero le 2021-10-26
[$5000][1270658] Haut CVE-2021-4099 : Utilisation après gratuit dans Swiftshader. Rapporté par Aki Helin de Solita le 2021-11-16
[$5000][1272068] Haut CVE-2021-4100 : Problème de cycle de vie des objets dans ANGLE. Rapporté par Aki Helin de Solita le 2021-11-19
[$TBD][1262080] Haut CVE-2021-4101 : Débordement de la mémoire tampon dans Swiftshader. Rapporté par Abraruddin Khan et Omair le 2021-10-21
[$TBD][1278387] Haut CVE-2021-4102 : Utilisation après gratuit en V8. Rapporté par Anonyme le 2021-12-09
Qu’est-ce que la vulnérabilité zero-day
Tout d’abord, l’équipe de sécurité l’équipe de sécurité d’Alibaba a parlé de cette vulnérabilité. Comme ils l’ont décrit, Apache Log4j2 est un outil de journalisation basé sur Java. Ce dernier est capable de réécrire le framework Log4j. Le cadre de journalisation est largement utilisé dans le développement de systèmes commerciaux pour enregistrer des informations de journal.
« Dans la plupart des cas, les développeurs peuvent écrire des messages d’erreur causés par la saisie de l’utilisateur dans le journal. Les attaquants peuvent utiliser cette fonctionnalité pour construire des paquets spéciaux de demande de données à travers cette vulnérabilité, et finalement déclencher l’exécution de code à distance. »
Ils ont également ajouté que « l’exploitation des vulnérabilités ne nécessite pas de configuration spéciale. Après vérification par l’équipe de sécurité d’Alibaba Cloud, Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc. sont tous concernés. «
Alibaba Cloud Emergency Response Center a recommandé aux utilisateurs d’Apache Log4j2 de prendre des mesures de sécurité dès que possible. Le niveau de vulnérabilité est Sérieuse (Critique). «
.
