Un code d’exploitation pour l’une des failles a été publié sur Twitter, ce qui a probablement bousculé le calendrier de publication de Chrome.
Alors qu’on attendait voir arriver la version Chrome 90, c’est la version 89.0.4389.128 qui est apparue hier. C’est une question d’urgence, car cette mise à jour corrige deux failles zero-day importantes, l’une dans le moteur de rendu Blink (CVE-2021-21206) et l’autre dans le moteur de Javascript V8 (CVE-2021-21220).
Cette seconde faille a été trouvée à l’occasion du concours de hacking Pwn2Own par des chercheurs de Dataflow Security qui ont pu ainsi empocher la rondelette somme de 100 000 dollars. Le hic, c’est qu’un autre chercheur, Rajvardhan Agarwal, a développé en parallèle un code d’exploitation pour cette faille et l’a publié sur GitHub, tout en l’annonçant sur Twitter.
getting popped with our own bugs wasn't on my bingo card for 2021. not sure it was too smart of Google to add that regression test right away… https://t.co/e0RUlmbxRK
— Niklas B (@_niklasb) April 12, 2021
Heureusement, l’impact de cette publication-surprise était limité. Google avait déjà développé un patch, mais il n’était pas encore diffusé dans la version publique, ce qui est désormais chose faite. Par ailleurs, le code sur GitHub ne constitue pas une chaîne d’exploitation complète et ne permettait pas, en l’état, d’exécuter du code à distance. Mais cet événement impromptu a certainement bousculé un petit peu le planning de publication de Chrome. Bref, la version 90 ne devrait pas tarder.
source : 01net