Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonLes premiers correctifs hebdomadaires de la mise à jour de sécurité de Chrome sont élevés
Google a publié la première mise à jour hebdomadaire de sécurité de Chrome, qui corrige cinq vulnérabilités de sécurité de la mémoire, dont quatre classées « de haute gravité ».
Par
Tableau à feuilles mobiles
Google a annoncé cette semaine une mise à jour de sécurité de Chrome 116 qui corrige cinq vulnérabilités de sécurité de la mémoire signalées par des chercheurs externes, dont quatre problèmes classés « de haute gravité ».
Sur la base de la récompense de bug bounty que Google a versée pour ces failles, la plus grave d'entre elles est CVE-2023-4430, un bug à utiliser après libération dans Vulkan, le standard ouvert multiplateforme pour les graphiques 3D.
La vulnérabilité a été signalée par Cassidy Kim, qui a reçu une prime de bug de 10 000 $ pour cette découverte, note Google dans son avis.
Le prochain problème est un autre problème d'utilisation après libération, cette fois dans le composant Loader. La faille est identifiée comme CVE-2023-4429 et a été signalée par un chercheur anonyme, qui a reçu une prime de 3 000 $.
Le géant de l'Internet affirme avoir également remis une récompense de 2 000 $ pour une vulnérabilité d'accès mémoire hors limites de haute gravité dans CSS.
Cependant, conformément à la politique de Google, aucune récompense de bug bounty ne sera versée pour un problème similaire dans le moteur JavaScript V8, signalé par un chercheur du Google Project Zero, ni pour une faille d'accès mémoire hors limites de gravité moyenne dans les polices. ce qui a été rapporté par un chercheur en sécurité Microsoft.
La dernière itération de Chrome est déployée en version 116.0.5845.110 pour Mac et Linux et en versions 116.0.5845.110/.111 pour Windows.
Google ne mentionne aucune de ces vulnérabilités exploitées lors d'attaques.
La mise à jour arrive une semaine après la sortie de Chrome 116 sur le canal stable, conformément aux plans précédemment présentés par Google visant à fournir des correctifs pour les nouvelles vulnérabilités plus rapidement qu'auparavant.
Alors que les itérations majeures de Chrome continueront d'arriver toutes les quatre semaines, des mises à jour de sécurité stables seront publiées chaque semaine, afin de réduire la fenêtre d'exploitation des exploits de n jours. Depuis 2020, le géant de l’Internet publie des mises à jour stables toutes les deux semaines.
En rapport:Chrome 116 corrige 26 vulnérabilités
En rapport:Google récompense plus de 60 000 $ pour les vulnérabilités V8 corrigées avec la mise à jour Chrome 115
En rapport:Chrome 115 corrige 20 vulnérabilités
Ionut Arghire est correspondant international de SecurityWeek.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des chroniques perspicaces d'experts du secteur.
Rejoignez des experts en sécurité pour discuter du potentiel inexploité de ZTNA en matière de réduction des cyber-risques et de responsabilisation de l'entreprise.
Rejoignez Microsoft et Finite State pour un webinaire qui présentera une nouvelle stratégie de sécurisation de la chaîne d'approvisionnement logicielle.
À mesure que les règles de divulgation des cyberincidents de la SEC entreront en vigueur, les organisations seront obligées d’envisager sérieusement de donner une place aux responsables de la sécurité à la table. (Marc Solomon)
Le travail à distance est là pour rester et les entreprises doivent continuer à s'assurer que leurs formes de communication de base sont correctement configurées et sécurisées. (Matt Honea)
La complexité et les défis des environnements cloud distribués nécessitent souvent la gestion de plusieurs infrastructures, technologies et piles de sécurité, de plusieurs moteurs de politiques, de plusieurs ensembles de contrôles et de plusieurs inventaires d'actifs. (Joshua Goldfarb)
L'évaluation automatisée des contrôles de sécurité améliore la posture de sécurité en vérifiant les configurations appropriées et cohérentes des contrôles de sécurité, plutôt que de simplement confirmer leur existence. (Torsten George)
Le contexte permet de compléter le tableau et donne lieu à des renseignements exploitables que les équipes de sécurité peuvent utiliser pour prendre des décisions éclairées plus rapidement. (Matt Wilson)
Tableau à feuilles mobiles
Moins d'une semaine après avoir annoncé qu'il suspendrait le service indéfiniment en raison d'un conflit avec un chercheur en sécurité (à l'époque) anonyme...