Google a publié une mise à jour urgente du navigateur Chrome afin de corriger trois vulnérabilités : CVE-2021-37974, CVE-2021-37975 et CVE-2021-37976. Les experts de Google considèrent qu’une vulnérabilité est critique alors que les deux autres sont hautement dangereuses.
Pire encore, selon Google les cybercriminels exploitent déjà deux de ces trois vulnérabilités. Ainsi, Google conseille à tous les utilisateurs de Chrome d’immédiatement mettre à jour leur navigateur et d’utiliser la version 94.0.4606.71. Ces vulnérabilités sont aussi pertinentes pour les navigateurs qui reposent sur le moteur Chromium. Par exemple, Microsoft conseille de mettre à jour Edge pour installer la version 94.0.992.38.
Pourquoi ces vulnérabilités de Google Chrome sont-elles dangereuses ?
CVE-2021-37974 et CVE-2021-37975 sont des vulnérabilités de type use-after-free (UAF) qui se servent de l’utilisation incorrecte du tas de la mémoire et exécutent un code arbitraire sur l’ordinateur pris pour cible.
La première vulnérabilité CVE-2021-37974 est liée au composant Safe Browsing, un sous-système de Google Chrome qui avertit les utilisateurs lorsqu’un site ou un téléchargement est dangereux. Cette vulnérabilité a obtenu un score CVSS v3.1 de 7,7 sur 10.
La seconde vulnérabilité, CVE-2021-37975, a été détectée dans le moteur V8 JavaScript de Chrome. Elle est considérée comme la plus dangereuse entre les trois, avec un score CVSS v3.1 de 8,1, ce qui la rend critique. Des malfaiteurs inconnus l’exploitent déjà lorsque l’attaque cible les utilisateurs de Chrome.
La troisième vulnérabilité, CVE-2021-37976, est liée à la surexposition des données à cause du cœur de Google Chrome. Elle est légèrement moins dangereuse, avec un score CVSS v3.1 de 7,2, même si les cybercriminels l’exploitent déjà.
Comment les cybercriminels peuvent-ils exploiter ces vulnérabilités ?
L’exploitation de ces trois vulnérabilités exige la création d’une page Web malveillante. Tous les cybercriminels doivent créer un site avec un exploit intégré et arriver à tromper les victimes pour les rediriger vers ce site. Ainsi, les exploits pour les deux vulnérabilités de type use-after-free permettent aux escrocs d’exécuter un code arbitraire sur les ordinateurs des utilisateurs qui n’ont pas mis à jour Chrome et ont accédé à la page. Cette action peut mettre en péril le système. L’exploit de la troisième vulnérabilité, CVE-2021-37976, permet aux cybercriminels d’accéder aux informations confidentielles de la victime.
Google va très certainement révéler plus de détails sur ces vulnérabilités lorsque la plupart des utilisateurs auront mis à jour leur navigateur. Dans ce cas, il vaut mieux installer la mise à jour dès que possible et ne pas la retarder.
Comment vous protéger
Tout d’abord, tout le monde doit mettre à jour le navigateur sur tous les dispositifs ayant accès à Internet. En général, la mise à jour s’installe automatiquement lorsque le navigateur est relancé. De nombreux utilisateurs ne redémarrent pas leur ordinateur pendant un certain temps et le navigateur reste vulnérable pendant plusieurs jours voire semaines. Dans tous les cas, nous vous conseillons de vérifier quelle version de Chrome vous utilisez. Voici comment faire : cliquez sur le bouton Personnaliser et contrôler Google Chrome en haut à droite dans la fenêtre du navigateur et sélectionnez Aide -> À propos de Google Chrome. Si la version de votre navigateur est ancienne, Chrome va automatiquement lancer la mise à jour.
Pour une meilleure protection, nous recommandons aux utilisateurs d’installer des solutions de sécurité sur tous les dispositifs connectés à Internet. Ainsi, même si votre navigateur n’est pas à jour, cette technologie de protection proactive va réduire les risques d’exploitation de la vulnérabilité.
Les employés des services qui s’occupent de la sécurité des informations de l’entreprise doivent aussi installer des solutions de sécurité sur tous les dispositifs, surveiller les mises à jour de sécurité et utiliser le système de transmission et de contrôle automatiques des mises à jour. Il serait aussi raisonnable d’installer en priorité les mises à jour des navigateurs.