La nouvelle version de Chrome 86.0.4240.111 a été publiée par Google pour déployer des correctifs de sécurité, incluant un correctif d’une faille zero-day activement exploitée. La référence de la faille zero-day en question est CVE-2020-15999 et se définit comme étant un bug de corruption de la mémoire dans la bibliothèque de rendu de polices FreeType incluse dans les distributions standard de Chrome.

Des attaques qui exploitent cette faille FreeType ont été repérées par des experts en sécurité de Projet Zero, parmi les équipes de sécurité interne de Google. D’après le responsable de l’équipe Projet Zero appelé Ben Hawkes, un pirate aurait été trouvé en train d’exploiter ce bug FreeType dans le but de lancer des attaques contre les utilisateurs de Chrome.

Par la suite, Hawkes a encouragé les autres fournisseurs d’applications utilisant la même bibliothèque FreeType à mettre à jour leur logiciel, au risque que les pirates décident de déplacer les attaques contre d’autres applications. Un correctif pour ce bug a été inclus dans FreeType 2.10.4.

Il est désormais possible aux utilisateurs de Chrome d’appliquer une mise à jour vers la version 86.0.4240.111 à travers la fonction de mise à jour intégrée du navigateur.