Google a été contraint de bousculer son calendrier à cause de la diffusion d’une vulnérabilité grave sur Twitter. L’entreprise américaine a sorti une mise à jour de sécurité pour Chrome, qui n’était pas prévue, alors qu’elle devait publier initialement Chrome 90.

Attendue le 13 avril, la nouvelle mise à jour de Google Chrome ne s’est pas montrée. Et pour cause : la firme de Mountain View a été obligée de bousculer son calendrier pour diffuser d’abord une version intermédiaire de son navigateur web. Résultat, au lieu de se retrouver avec Chrome 90, les internautes doivent se contenter depuis le 13 avril de Chrome 89.0.4389.128.

Cela étant, tout le monde est invité à télécharger et installer cette mouture. En effet, cette version du navigateur web vient corriger deux vulnérabilités jugées sérieuses. L’une touche son moteur JavaScript V8, tandis que l’autre affecte le moteur de rendu Blink, qui sert à afficher les pages web. Et ce n’est pas là le plus grave : Google a appris que des exploitations de ces deux failles circulent sur le net.

Google Chrome

Pour éviter d’éventuels problèmes, la mise à jour s’impose. // Source : Google

Le code d’exploitation se retrouve sur Twitter et GitHub

Pour l’heure, ajoute l’entreprise américaine, l’accès aux détails et aux liens de ces deux bugs est restreint le temps qu’une majorité d’internautes aient procédé à la mise à jour de Google Chrome. Selon The Hacker News, la publication de Chrome 89.0.4389.128 a été en partie précipitée par le fait qu’un chercheur en informatique a partagé sur Twitter un lien vers GitHub donnant des détails sur l’une des deux failles.

Nos confrères indiquent qu’au départ, cette faille a été révélée lors du concours Pwn2Own 2021, dont l’édition a eu lieu début avril, par la société Dataflow Security. Or, il apparaît que ce chercheur en informatique est parvenu à créer un code d’exploitation opérationnel ce week-end, en faisant de la rétro-ingénierie du correctif que l’équipe du projet Chromium — sur lequel se base Google Chrome pour fonctionner.

Résultat, alors qu’un patch pour le moteur JavaScript V8 était en chemin, et que Google, alors au courant, prévoyait de l’intégrer ultérieurement dans une mise à jour de Chrome, le partage du code sur GitHub et sur Twitter semble clairement avoir contraint la firme de Mountain View à bousculer son calendrier. La bonne nouvelle, néanmoins, c’est qu’il y avait à ce moment-là déjà une rustine dans les tuyaux.

https://twitter.com/r4j0x00/status/1381643526010597380

L’autre bonne nouvelle, c’est que la diffusion seule de ce code ne suffit visiblement pas à outrepasser les mesures de sécurité de Google Chrome. De fait, son impact n’emporte pas de conséquences très critiques, même si la prudence a précipité la décision de sortir une version intermédiaire de Google Chrome. Peut-être en faudra-t-il une autre, d’ailleurs, avant ou après Chrome 90.

En effet, le même chercheur en informatique a fait savoir le 14 avril que si la vulnérabilité précédente a été corrigée dans la dernière version du navigateur, une autre vulnérabilité a été corrigée sur la dernière version du moteur JavaScript V8, mais pas encore sur Chrome. En clair : même la dernière version de Chrome est toujours affectée. Mais pour cette fois, il a déclaré de ne rien publier.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !