Journée très active décidément pour la sécurité. Tout le monde peut récupérer la version 93.0.4577.82 de Chrome pour colmater une bonne dizaine de brèches, dont deux sont critiques et déjà exploitées.
La première, CVE-2021-30632, réside dans le moteur JavaScript V8 et est de type « Out-of-bounds Write ». En clair, l’application écrit avant ou après la zone tampon, pouvant entrainer un plantage, une corruption des données ou, dans le cas présent, une exécution arbitraire de code.
La seconde, CVE-2021-30633, se trouve dans l’API IndexedDB et est de type « Use after free ». Ce type d’erreur se produit lorsqu’une application fait référence à une zone mémoire déjà libérée, avec les mêmes conséquences que dans le cas précédent.
Avec ces deux failles, Chrome en est à 11 brèches 0-day depuis le début de l’année, comme le rappelle The Hacker News.
La récupération de la nouvelle version, si elle ne s’est pas encore faite automatiquement, passe par l’À propos du navigateur.
