Ces vulnérabilités étaient exploitées de façon active par des pirates, tout comme les deux autres que Google a corrigées il y a un peu plus d’une semaine. Une véritable série noire.

Les utilisateurs de Chrome Desktop sont priés de mettre à jour leur logiciel. Google vient en effet de publier la mise à jour 86.0.4240.198 qui colmate deux failles importantes et exploitées de façon active par des pirates.

La première (CVE-2020-16013) est liée à une mauvaise implémentation dans le moteur Javascript V8. La seconde (CVE-2020-16017) provient d’un bug de mémoire dans la gestion de l’isolation des sites (« use after free »). Google n’a pas donné plus d’informations techniques à ce sujet.

Ces correctifs font suite à deux autres failles zero-day patchées il y a un peu plus d’une semaine (CVE-2020-1609 et CVE-2020-16010). Elles aussi étaient d’ores et déjà utilisées pour réaliser des cyberattaques.

Ce festival de failles zero-day est plutôt inquiétant, mais pas vraiment surprenant. Chrome est de loin le navigateur le plus utilisé dans le monde. Il est donc logique qu’il attire des hordes de pirates.