Une vulnérabilité zero-day présente dans Chromium a été corrigée dans des mises à jour de Google Chrome et Microsoft Edge.
La vulnérabilité, considérée comme importante, est de type « use-after-free ». Google a également indiqué avoir des preuves de son exploitation.
Une vulnérabilité exploitée
Le 24 septembre, Google a annoncé une mise à jour de sécurité pour Chrome afin de corriger la CVE-2021-37973, une vulnérabilité de type use-after-free présente dans Portals. Ce type de vulnérabilité se produit lorsqu'un pointeur n'est pas mis à NULL après la libération de l'emplacement mémoire qu'il pointe. Des attaquants peuvent ainsi l'exploiter pour exécuter du code malveillant arbitraire sur les ordinateurs vulnérables.
L'entreprise a indiqué être au courant de son exploitation et n'a donc pas publié plus de détails à son sujet pour le moment. Microsoft a également mis à jour son navigateur Edge, basé sur Chromium et donc vulnérable.
Pour vérifier que vos navigateurs sont bien mis à jour, assurez-vous que Chrome soit en version 94.0.4606.61 ou qu'Edge soit en version 94.0.992.31. La mise à jour se fait automatiquement au redémarrage des navigateurs.
Source : Neowin
