Durant ces trois dernières semaines, Google a corrigé cinq failles zero day Chrome. Cette fois-ci les nouvelles failles ont été découvertes grâce à une information provenant de sources anonymes.

Google a publié la version 86.0.4240.198 de Chrome corrigeant deux failles zero-day ayant été exploitées par des attaquants. Ces deux failles représentent les quatrième et cinquième failles zero-day ayant été corrigé par Google dans Chrome au cours des trois dernières semaines. Aucun détail n’a été rendu public concernant les attaques dans lesquelles ces bugs ont été utilisés.

D’après le changelog Chrome 86.0.4240.198, les deux bugs zero day sont définis comme suit :

• CVE-2020-16013 : cette faille a été décrite comme une « implémentation inappropriée dans V8 », où V8 est le composant Chrome qui gère le code JavaScript.
• CVE-2020-16017 : cette faille a été décrite comme un bug de corruption de la mémoire de type « use after free » dans Site Isolation, un composant Chrome qui isole les données de chaque site les unes des autres.

On ne peut savoir si les deux failles ont été utilisées ensemble, dans le cadre d’une chaine d’exploitation, ou bien utilisées individuellement.

Malgré le fait que le risque pour les utilisateurs réguliers ne soit pas clair et bien défini, mais il reste recommandé aux utilisateurs de Chrome d’effectuer une mise à jour de la version v86.0.4240.198 à travers la fonction de mise à jour intégré du navigateur (voir le menu Chrome, l’option Aide et la section A propos de Google Chrome) dès que possible.