Google a annoncé la disponibilité d’une nouvelle version du navigateur Chrome qui comporte des corrections pour 25 vulnérabilités. Une exploitation réussie de la plus grave de ces vulnérabilités pourrait permettre à un attaquant d'exécuter du code arbitraire dans le contexte du navigateur.

En fonction des privilèges associés à l'application, un attaquant pourrait visualiser, modifier ou supprimer des données. Si cette application a été préalablement configurée pour avoir moins de droits d'utilisateur sur le système, l'exploitation de ces vulnérabilités pourrait avoir moins d'impact.

Parmi les sept vulnérabilités classes "à haut risque", nous trouvons CVE-2021-38006 qui est de type « Use after free » et CVE-2021-38007 qui est un problème de confusion de type V8.

Dix autres failles de gravité moyenne ont été corrigées, notamment une confusion de type dans V8 (CVE-2021-38012), un débordement de tampon de tas dans la reconnaissance d'empreintes digitales (CVE-2021-38013), une écriture hors limites dans Swiftshader (CVE-2021-38014) et un manque de contrôle de sécurité des entrées (CVE-2021-38015).

Google a également corrigé une implémentation inappropriée dans WebAuthentication, qui a été considéré comme un problème de faible gravité.

De ce fait, nous invitons tous les utilisateurs de ce navigateur de le mettre à jour à la dernière version (96.0.4664.45), et nous recommandons d’exécuter tous les logiciels en tant qu'utilisateur non privilégié afin de réduire les effets d'une éventuelle attaque réussie.