Google corrige une vulnérabilité jour zéro activement exploitée de Chrome

Google a publié un correctif de sécurité pour son navigateur Chrome sur Windows, macOS et linux, qu’il est recommandé d’appliquer immédiatement (CERTFR-2020-AVI-113), en mettant à jour vers la version 80.0.3987.122.

Car ce correctif s’applique à trois vulnérabilités de sécurité de haute sévérité, dont l’une est activement exploitée par des pirates.

La première est un bogue de débordement de nombre entier dans une librairie pour l’Unicode. Découverte par André Bargull, qui a reçu une prime de 5 000 $ de Google, elle n’a pas fait l’objet d’une annonce CVE.

La deuxième, CVE-2020-6407, est un bogue d’accès à la mémoire hors limites. Elle a été rapportée par Sergei Glazunov de Project Zero de Google.

La troisième, CVE-2020-6418, est un bogue de confusion de type dans le compilateur TurboFan de l’engin JavaScript de Chromium. Elle fut relatée le 18 février à l’équipe de Chromium, qui la corrigea sans faire de bruit le 19.

Toutefois, deux chercheurs en sécurité, détectant le changement de code source du projet en code source ouvert Chromium, ont eu l’idée de vérifier s’il était toujours possible de développer un exploit, c’est-à-dire un logiciel exploitant une ou plusieurs vulnérabilités, avant que le correctif ne soit publié officiellement, une pratique connue sous le nom de patch-gaping (brèche de correctif).

Malheureusement, ils ont partagé le code de leur exploit dans un fichier ZIP, une action peu éthique : ils auraient pu attendre quelques jours, voire quelques mois, après la publication du correctif avant de prouver qu’ils avaient développé un exploit.