Google et Mozilla invitent tous deux les utilisateurs à corriger les graves vulnérabilités de leurs navigateurs web respectifs, Chrome et Firefox, qui pourraient être exploitées pour permettre aux acteurs de la menace de prendre le contrôle des systèmes des utilisateurs. Les correctifs de sécurité seront déployés sur Windows, Mac et Linux au cours des prochains jours. Il est important de noter qu'aucune des failles n'a été détectée comme étant abusivement exploitée dans la nature.
Chrome
La nouvelle version stable de Chrome, 87.0.4280.141, apporte 16 correctifs de sécurité ; et bien que le géant technologique ne divulguera pas les détails de tous ces correctifs avant que la majorité de sa base d'utilisateurs n'ait reçu les mises à jour, il a mis en évidence des correctifs pour 13 vulnérabilités qui ont été signalées par des chercheurs externes.
Douze failles ont été classées comme étant à haut risque, tandis qu'une a été déterminée comme étant de gravité moyenne. La plupart des failles de haute gravité sont des bogues « use-after-free », c'est-à-dire des failles de corruption de la mémoire, résidant dans divers composants de Chromium. Ils pourraient être exploités si un utilisateur se rendait ou était redirigé vers une page web spécialement conçue pour permettre l'exécution de code à distance dans le contexte du navigateur, a noté le Centre pour la sécurité sur Internet.
Google a versé plus de 110 000 dollars US aux chercheurs en sécurité pour avoir découvert et signalé les vulnérabilités.
La Cybersecurity and Infrastructure Security Agency (CISA) a publié un avis de sécurité invitant les utilisateurs et les administrateurs système à mettre à jour le navigateur : « Google a publié la version 87.0.4280.141 de Chrome pour Windows, Mac et Linux. Cette version traite des vulnérabilités qu'un attaquant pourrait exploiter pour prendre le contrôle d'un système affecté. »
Firefox
Pendant ce temps, Mozilla a publié une mise à jour de sécurité pour remédier à une faille de sécurité jugée critique qui est suivie comme CVE-2020-16044 et affecte les versions de navigateur antérieures à Firefox 84.0.2, Firefox pour Android 84.1.3, et Firefox ESR 78.6.1.
« Un pair malveillant aurait pu modifier un morceau de COOKIE-ECHO dans un paquet SCTP d'une manière qui aurait pu aboutir à une utilisation libre. Nous supposons qu'avec suffisamment d'efforts, il aurait pu être exploité pour exécuter un code arbitraire », déclare Mozilla dans sa description du vecteur d'attaque.
Le protocole SCTP (Stream Control Transmission Protocol) est utilisé pour transporter plusieurs flux de données en même temps entre deux points d'extrémité connectés au même réseau. La faille de Firefox réside dans la façon dont le protocole traite les données des cookies.
La CISA a également pris note de cette vulnérabilité et a publié un avis invitant les utilisateurs et les administrateurs à mettre à jour leur logiciel afin de protéger leurs systèmes contre d'éventuelles attaques.
Vous êtes en effet fortement encouragés à mettre à jour les navigateurs à leurs versions respectives les plus récentes dès que possible. Vous pouvez télécharger la dernière version de Chrome ici et pour Firefox, ici. Si vous avez activé les mises à jour automatiques, vos navigateurs devraient se mettre à jour d'eux-mêmes.