Google vient de publier en urgence un patch pour Chrome 95. En effet, le constructeur a détecté deux failles zero-day dans la dernière version de son navigateur de recherche. D'après la firme de Mountain View, ces vulnérabilités ont d'ores et déjà été exploitées par des pirates.

Google Chrome vient de passer sous sa version 95. Parmi les nouveautés apportées par cette mouture, on note la possibilité de créer des groupes d'onglets. Il suffit de les stocker dans un dossier pour y accéder rapidement à chacune de vos sessions, plutôt que de devoir passer l'historique et d'ouvrir chaque page une par une.

La sécurité des paiements a également été améliorée avec une extension dédiée à l'authentification des banques. L'interface dédiée à la liste de lecture et aux favoris a été remaniée et se veut bien plus intuitive. En outre, le design de Chrome 95 se veut bien plus proche de celui Windows 11, dans un souci d'harmonie avec le nouvel OS de Microsoft. Malheureusement et seulement une semaine après le déploiement de Chrome 95, Google annonce ce vendredi 29 octobre 2021 la diffusion en urgence d'un patch.

En effet, la firme de Mountain View a détecté un total de 7 failles de sécurité dans la dernière version de son navigateur de recherche. Parmi elles se cachent deux failles zero-day, comprenez des vulnérabilités informatiques qui n'ont fait l'objet d'aucune publication ou qui n'ont pas de correctif connu. D'après Google, elles ont d'ores et déjà été exploitées par des pirates.

À lire également : Google Chrome – le nouveau design se rapproche de Windows 11

Google détecte deux failles particulièrement dangereuses

“Google est conscient que des exploits pour CVE-2021-38000 et CVE-2021-38003 existent dans la nature”, précise le géant du web dans la liste des correctifs de sécurité de Chrome 95 publiée aujourd'hui. La première faille CVE-2021-38000 est décrite “comme une validation insuffisante des entrée non fiables dans Intents” et a reçu un niveau de gravité élevé. Elle a été découverte par des chercheurs en sécurité informatique du Google Threat Analysis Group le 15 septembre 2021.

Quant à la seconde faille zero-day, répondant au nom de CVE-2021-38003, il s'agit d'un bug de gravité élevé du type “Implémentation inappropriée” dans le moteur Javascript Chrome V8. Elle a été mise en lumière le 24 octobre 2021. Pour de nombreux chercheurs, les bugs V8 sont particulièrement dangereux. “Les bugs V8 permettent généralement la construction d'exploits exceptionnellement puissants”, assure Samuel Grob, chercheur du Google Project Zero.

Pour l'instant, Google comme les chercheurs en sécurité informatique à l'origine de la découverte de ces failles n'ont pas donné de détails supplémentaires quant à la manière dont les pirates ont exploité ces vulnérabilités dans leurs actions. De fait, difficile de savoir quels sont les risques qui pèsent sur les utilisateurs.

Mais quoi qu'il en soit, ces failles ayant été exploitées, Google appelle tous les utilisateurs à installer la mise à jour soit manuellement, soit en redémarrant leur navigateur pour passer automatiquement sur la dernière version. Comme le veut la tradition, cette MAJ 95.0.4638.69 sera déployée progressivement. Pour vérifier sa disponibilité, suivez les étapes suivantes :

• Rendez-vous dans le menu Chrome, puis direction l'onglet Aide
• Cliquez maintenant À propos de Google Chrome
• Le navigateur commence à effectuer la mise à jour de Chrome