Vulnérabilité 0-day dans Google Chrome et Microsoft Edge
Date de publication :
Google a publié son bulletin de correctifs mensuel pour Google Chrome. Deux vulnérabilités présentant un haut niveau de criticité ont été corrigées.
CVE-2021-21206[Score CVSS v3 : 8.8]
Une vulnérabilité de type use-after-free a été corrigée au sein de Google Chrome.
La faille suivante impacte le navigateur Chromium qui est utilisé comme base pour Google Chrome et Microsoft Edge. Ainsi, ces deux navigateurs sont également impactés.
CVE-2021-21220 [Score CVSS v3 : 8.8]
Cette vulnérabilité provient d’une erreur dans le moteur JavaScript V8 dans Chromium. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire au sein d’un contenu web afin qu’il soit exécuté par un utilisateur non averti. Il est à retenir que l’exploitation ne fonctionne pas lorsque le mode sandbox de Chromium est activé.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
Criticité
- Scores CVSS v3 : 8.8 max
Existence d’un code d’exploitation
- Le 12 avril, un chercheur en sécurité a publié sur la plateforme Twitter une démonstration d’exploitation de la CVE-2021-21220 impactant les navigateurs Google Chrome et Microsoft Edge. Cette faille peut permettre l'exécution de code arbitraire à distance.
- Un code d’exploitation est disponible sur le dépôt Github du chercheur en sécurité ayant présenté l'exploitation de cette vulnérabilité. Un lien est disponible en référence de bulletin.
Composants vulnérables
- Les versions de Google Chrome antérieures à 89.0.4389.128 sont impactées par ces vulnérabilités.
- Les versions de Microsoft Edge antérieures à 89.0.774.68 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Google Chrome vers la version 89.0.4389.128.
- Mettre à jour Microsoft Edge vers la version 89.0.774.68.
Solution de contournement
- Afin de prévenir les risques liés à cette vulnérabilité, il est recommandé d’utiliser les navigateurs Google Chrome et Microsoft Edge avec l’option sandbox activée (comportement par défaut des deux navigateurs).