Google Chrome : découverte d’une faille critique, installez la dernière mise à jour sur Windows 10, Mac et Linux
Google Chrome vient de recevoir une mise à jour qui corrige quatre failles de sécurité dont l'une est classée « critique ». Elle permet d'exécuter du code malveillant à distance sur le PC des victimes et d'en prendre le contrôle, ce qui ouvre la voie à toutes sortes d'attaques. Les utilisateurs sur Windows, Mac et Linux doivent installer au plus vite la dernière mise à jour.
Google a déployé Chrome 77 il y a quelques jours et voici déjà la mise à jour 77.0.3865.90 qui corrige plusieurs failles de sécurité. La plus sévère permet l'exécution de code arbitraire à distance sur n'importe quel ordinateur sous Windows, Mac ou Linux. L'attaquant peut installer des malwares, afficher, modifier ou supprimer des données, voire créer de nouveaux comptes utilisateurs avec un privilège d'administrateur.
Google Chrome la mise à jour 77.0.3865.90 corrige quatre failles de sécurité dont une jugée sévère
Pour exploiter la faille jugée critique, il suffit au pirate de piéger sa victime à travers une page web vérolée. La faille est d'autant plus dangereuse qu'elle ne nécessite aucune autre action de la part de l'utilisateur. La vigilance n'est donc pas salvatrice dans ce cas et n'importe qui pourrait en être victime. Comme l'explique le site The Hacker News, un chercheur en sécurité du nom de Man Yue Mo a découvert deux des quatre failles patchées, dont la plus sévère. Google lui a offert une récompense de 40 000 dollars pour ses découvertes.
Les deux autres chercheurs ayant découvert le reste des failles ont eux aussi été récompensés, mais le montant n'a pas été précisé. C'est la deuxième fois que Google corrige des failles importantes dans Chrome en moins d'un mois. Fin août, une vulnérabilité de même nature pratiquement avait déjà été corrigée avec la mise à jour 76.0.3809.132 du navigateur. Dans les deux cas, seules les versions Desktop sont concernées. Pour les versions iOS ou Android de Google Chrome, aucune mise à jour n'est donc nécessaire.
Source : The Hacker News