Quelques jours après avoir corrigé une faille déjà exploitée dans Chrome, Google remet une pièce dans la machine. Une nouvelle mise à jour de sécurité corrige 28 vulnérabilités, dont cinq critiques.
Chrome réclame encore un redémarrage alors que vous aviez déjà fait le nécessaire la semaine dernière ? Ce n’est pas un caprice du navigateur. Google vient de publier une nouvelle mise à jour de sécurité, quelques jours seulement après un premier correctif déjà urgent, marqué par une faille V8 exploitée dans la nature. Pas d’attaque en cours cette fois-ci, mais un bulletin suffisamment chargé pour ne pas remettre l’installation de la mise à jour à plus tard.
Sponsorisé
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Sponsorisé
Des failles critiques dans plusieurs composants de Chrome
Dans le détail, Google déploie Chrome 149.0.7827.114/.115 sur Windows et macOS, ainsi que Chrome 149.0.7827.114 sur Linux. Cette nouvelle version stable corrige 28 vulnérabilités de sécurité, dont cinq classées critiques, soit le niveau de gravité le plus élevé.
Les failles les plus sensibles touchent plusieurs briques internes du navigateur. Trois d’entre elles relèvent de vulnérabilités dites use-after-free, repérées dans Core, le cœur technique de Chrome, Digital Credentials, lié à la gestion des justificatifs numériques, et WebMIDI, qui permet aux pages web d’interagir avec des instruments ou périphériques MIDI. Derrière ce terme un peu sec, on parle d’erreurs de gestion mémoire qui peuvent conduire un programme à réutiliser une zone déjà libérée. Ce type de faille peut provoquer un plantage, mais aussi ouvrir la voie à des détournements plus sérieux, jusqu’à l’exécution de code à distance si l’attaque est maîtrisée.
Google corrige aussi une validation insuffisante des données non fiables dans Accessibility, le module lié aux fonctions d’accessibilité du navigateur, ainsi qu’un dépassement de mémoire tampon dans le GPU, chargé du rendu graphique et de l’accélération matérielle. Dans le premier cas, Chrome ne contrôlait pas assez strictement certaines données reçues. Dans le second, une opération pouvait écrire plus de données que prévu dans une zone mémoire. Deux familles de failles différentes, donc, mais un même enjeu côté sécurité : empêcher qu’une page piégée ne provoque un plantage, une corruption de mémoire ou, dans les cas les plus sérieux, l’exécution de code malveillant.
Le reste du bulletin se compose presque uniquement de vulnérabilités de gravité élevée. Elles relèvent essentiellement des mêmes familles de risques, entre erreurs de gestion mémoire, validations insuffisantes, lectures ou écritures hors limites et opérations mal synchronisées.
Deux mises à jour rapprochées, mais pas forcément un raté
Deux bulletins de sécurité en quelques jours, dont un premier déjà marqué par une faille exploitée, peuvent donner l’impression que Google a dû repasser derrière son propre correctif. Mais cet enchaînement ne suffit pas à conclure que la mise à jour de la semaine dernière a été publiée trop vite ou préparée à moitié.
Une vulnérabilité corrigée dans Chrome ne passe pas du signalement au patch en un claquement de doigts. Il faut analyser le bug, écrire le correctif, l’intégrer dans la bonne branche, vérifier qu’il ne casse pas autre chose, puis l’ajouter au canal stable. Dans le cas d’un patch marqué par une faille déjà exploitée, comme celui du 8 juin, la priorité consiste aussi à pousser vite ce qui doit l’être, quitte à publier un second train de corrections dans la foulée.
Vous savez donc ce qu’il vous reste à faire. Pour vérifier que Chrome est bien à jour, ouvrez le menu du navigateur, rendez-vous dans Aide, puis À propos de Google Chrome. Si la nouvelle version est disponible, elle s’installe automatiquement. Il faudra ensuite relancer Chrome pour appliquer le correctif.
- Vitesse de navigation imbattable
- Écosystème d'extensions très riche
- Synchronisation multi-appareils fluide
