Google annonce la correction de trois failles importantes dans son navigateur Chrome. La mise à jour doit être appliquée sans attendre, car l'une des vulnérabilités est exploitée.

L’heure est à la mise à jour pour les personnes qui utilisent Chrome pour aller sur le web. Le 24 février, Google a annoncé la publication de la version 80.0.3987.122 de son navigateur. Il est conseillé de procéder immédiatement à la mise à jour car celle-ci vient résoudre trois vulnérabilités sérieuses, dont une qui s’avère être exploitée par des tiers malveillants. La mise à jour concerne Windows, Mac et Linux.

La faille en cause se trouve dans le moteur JavaScript V8 de Chrome et bénéficie d’une confusion sur le type de données. Ce problème survient quand un programme alloue ou initialise une ressource, comme un objet ou une variable, en utilisant un type (nombres, chaînes de caractères, objets, etc), puis accède ensuite à cette ressource en se servant d’un type qui est incompatible avec celui d’origine.

Google Chrome
La mise à jour est recommandée car une faille est exploitée.

Comment mettre à jour Chrome ?

Le procédé est simple : lancez le navigateur et rendez-vous en haut à droite de l’écran au niveau des points de suspension verticaux. Cliquez dessus et sélectionnez la ligne intitulée « Aide », puis « À propos de Google Chrome ». Un nouvel onglet apparaîtra et vous donnera le numéro de la version que vous utilisez. Si vous êtes déjà jour, rien ne se passera. Sinon, la mise à jour s’enclenchera automatiquement.

Des failles découvertes en interne

Ce type d’incident a déjà causé par le passé quelques ennuis à d’autres navigateurs. On se souvient qu’en juin 2019, Mozilla avait dû sortir en urgence un correctif pour Firefox parce qu’une brèche similaire avait été détectée et qu’elle était elle aussi exploitée par des tiers malintentionnés. La brèche impliquait le langage JavaScript et la méthode Array.pop, qui sert à supprimer le dernier élément d’un tableau JavaScript.

Il est à noter que deux des trois failles corrigées avec cette mise à jour ont été détectées en interne : la première par un membre de l’équipe Projet Zéro, qui est une division de Google spécialisée dans la traque de failles, la seconde par un membre de l’équipe Threat Analysis Group, pour contrer les menaces étatiques. La troisième, qui est exploitée, a été repérée par un intervenant extérieur, qui a reçu une prime de 5 000 dollars.

Partager sur les réseaux sociaux