Google a révélé que deux faiblesses de Chrome font l’objet d’une attaque active. Les utilisateurs ont été invités à mettre à jour leur navigateur pour éviter d’en être victimes.

 

Ces faiblesses ont été signalées à Google par une partie anonyme et ont reçu un indice de gravité « élevé ». Peu d’informations supplémentaires ont été fournies sur le lieu et la manière dont les vulnérabilités – connues sous le nom de « zero-days », car les développeurs ont « zéro jour » pour corriger la faille avant qu’elle ne soit exploitée par des pirates malveillants – ont été exploitées.

La version mise à jour sera disponible pour les utilisateurs de Windows, Mac et Linux « dans les jours/semaines à venir », a déclaré Google dans un article de blog. Lorsque Forbes a effectué la mise à jour mardi matin sur un Apple Mac, il s’agissait de la dernière version, la plus sécurisée, 93.0.4577.82. Les utilisateurs peuvent vérifier la version qu’ils utilisent en cliquant sur le bouton « À propos de Google Chrome » dans la section d’aide du navigateur.

La journée de lundi a été marquée par d’importantes mises à jour de sécurité. Google a également révélé neuf autres vulnérabilités d’un niveau de gravité « élevé » qui ont été corrigées dans la dernière version de Chrome. Deux d’entre elles ont été jugées suffisamment graves pour justifier le versement d’une somme de 7 500 dollars aux chercheurs en sécurité qui les ont découvertes. Pendant ce temps, Apple a publié une mise à jour d’urgence pour iOS afin de corriger une vulnérabilité de type « zero-day » qui aurait été exploitée par le fournisseur israélien de logiciels espions NSO Group, évalué à 1 milliard de dollars.

Cette année a vu un nombre important de campagnes actives exploitant des faiblesses de type « zero-day » dans les principaux logiciels, les outils Microsoft étant la cible principale. Selon Ryan Naraine, ancien expert en cybersécurité de Kaspersky et podcasteur, 66 attaques de type « zero-day » ont eu lieu jusqu’à présent en 2021.

Selon les propres données de Google, les données de Ryan Naraine sont erronées. Une feuille de calcul tweetée par Maddie Stone, chercheuse en sécurité chez Google, révèle que neuf attaques de type « zero-day » ont été signalées dans la nature en 2021.

Microsoft a connu une année 2021 particulièrement difficile, avec des attaques visant Exchange qui se sont multipliées ces derniers mois. Un ancien membre du personnel de sécurité, Kevin Beaumont, a ouvertement critiqué Microsoft pour ne pas avoir fait davantage pour avertir les utilisateurs de la nécessité de corriger les vulnérabilités qui ont été utilisées par les pirates dans des attaques de ransomware ces dernières semaines.

 

Article traduit de Forbes US – Auteur : Thomas Brewster

 

<<< À lire également : Si, un Google ou un Amazon français sont possibles ! >>>