Des chercheurs ont découvert une vulnérabilité critique, CVE-2021-21148, dans Google Chrome. Nous vous conseillons de vous en occuper dès que possible puisque les cybercriminels l’exploitent déjà. Les versions du navigateur disponibles pour les principaux systèmes d’exploitation d’ordinateurs (Windows, MacOS et Linux) sont tous vulnérables. Voici ce qui se passe et comment mettre à jour votre navigateur.
Pourquoi la vulnérabilité CVE-2021-21148 est-elle dangereuse ?
Cette vulnérabilité permet aux cybercriminels de réaliser une attaque par débordement de tas, une manipulation qui permet l’exécution à distance d’un code sur l’appareil de la victime. Exploiter cette vulnérabilité n’est pas plus compliqué que créer un site Web malveillant et d’y rediriger les victimes pour les arnaquer ; en revanche, les dégâts peuvent être beaucoup plus importants étant donné que les cybercriminels peuvent prendre le contrôle du système affecté.
Dans ce cas, le composant vulnérable n’est autre que le moteur JavaScript V8 intégré dans le navigateur. Le chercheur en sécurité Mattias Buelens a envoyé des informations sur cette vulnérabilité à Google le 24 janvier et l’entreprise a publié le 4 février un patch qui corrige l’erreur. Google a reconnu avoir reçu des rapports de cybercriminels anonymes qui exploitent activement la vulnérabilité CVE-2021-21148.
Selon un article publié sur ZDnet, la vulnérabilité pourrait être liée à de récentes attaques de piratage qui ont eu lieu en Corée du Nord et qui s’en prenaient à la communauté d’experts en cybersécurité. Dans tous les cas, le mécanisme d’attaque ressemble beaucoup à celui utilisé pour exploiter la vulnérabilité CVE-2021-21148. De plus, la date à laquelle la vulnérabilité a été découverte est très proche de celle à laquelle l’attaque s’en prenant aux experts a été communiquée. Pourtant, il est encore impossible de confirmer cette théorie et qu’il y a un lien direct.
Comme d’habitude, Google attend que la plupart des utilisateurs actifs de Chrome ait mis à jour leur navigateur pour communiquer plus de détails techniques. Cela est compréhensible ; des révélations non réfléchies sur cette vulnérabilité pourraient entraîner une hausse rapide des attaques.
Comment vous protéger ?
- Mettez immédiatement à jour Google Chrome sur votre ordinateur. Pour ce faire, cliquez sur les points verticaux en haut à droite de la fenêtre du navigateur puis sélectionnez Paramètres → À propos de Chrome. Votre navigateur se met automatiquement à jour dès que vous ouvrez cette page.
- Relancez le navigateur pour que les modifications prennent effet. N’attendez pas pour le faire et ne vous inquiétez pas pour les onglets ouverts. Les nouvelles versions de Chrome restaurent automatiquement les onglets lorsque vous relancez le navigateur ou, en cas de fermeture inattendue, vous demandent si vous souhaitez les restaurer.
- Si la section À propos de Chrome indique que vous utilisez déjà la version 88.0.4324.150 alors votre navigateur est à jour et la vulnérabilité CVE-2021-21148 n’est plus une menace.