La principale nouveauté de la build 88.0.4324.150 de Google Chrome pour Windows, Mac et Linux est la correction d’une vulnérabilité jour zéro activement exploitée par des pirates informatiques.
Une vulnérabilité jour zéro, également appelée 0-day ou zero-day est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. L’existence d’une telle faille sur un produit informatique implique qu’aucune protection n’existe, qu’elle soit palliative ou définitive.
La vulnérabilité corrigée, dont l’identifiant est CVE-2021-21148 et la sévérité classée haute, est un dépassement de tampon dans la pile de V8, le moteur JavaScript de Chrome, rapporté par un chercheur en sécurité nommé Mattias Buelens le 24 janvier 2021.
Au nom de la sécurité, Google ne fournit pas de plus ample information sur le correctif, tant qu’une majorité d’utilisateurs ont mis à jour leur logiciel avec le correctif, ni si le bogue existe dans une librairie tierce dont dépendent d’autres projets. Une courtoise bien souvent bafouée par sa propre équipe de chercheurs quand les bogues sont dans des logiciels tiers.
La mise à jour est normalement automatique au démarrage de Google Chrome. Ceux qui ont désactivé la mise à jour automatique doivent lancer leur navigateur et choisir Paramètres / A propos de Chrome.
Typiquement, un tel type de bogue permet de corrompre la mémoire vive d’un système et de lui faire exécuter du code arbitraire à distance.
Sur son blogue sur la sécurité, Microsoft mentionne la découverte depuis quelques mois d’un acteur malveillant attaquant les chercheurs de sécurité, qu’elle nomma ZINC.
Son système Microsoft Defender for Endpoint détecta une attaque en progrès ciblant des chercheurs en cybersécurité, et basé sur les observations, Microsoft en déduisit que ZINC était un groupe de pirates d’État affilié à la Corée du Nord.
Après l’annonce cette semaine du Threat Analysis Group de Google, Microsoft en déduit que l’exploitation de la vulnérabilité jour zéro est le fait de ZINC.
Avec la collaboration de Twitter et GitHub, ils ont pu rapidement désactiver des comptes sociaux, qui, une fois obtenu une crédibilité auprès de la communauté de la sécurité via des tweets liés à d’autres attaques, ont été utilisés pour se rapprocher de leurs cibles via les réseaux sociaux.
Dans cette attaque, ZINC exploita notamment la vulnérabilité de Chrome, une autre vulnérabilité dans Internet Explorer, des projets Visual Studio malicieux, des vieux pilotes logiciels renommés ainsi qu’un voleur de mots de passe pour Chrome.