Google a publié une mise à jour de sécurité pour le navigateur Chrome afin de corriger la cinquième vulnérabilité zero-day exploitée dans la nature depuis le début de l’année.
Le problème de gravité élevée suivi sous le numéro CVE-2024-4671 est une vulnérabilité « utilisateur après libération » dans le composant Visuals qui gère le rendu et l’affichage du contenu sur le navigateur.
CVE-2024-4671 a été découvert et signalé à Google par un chercheur anonyme, tandis que la société a révélé qu’il était probablement activement exploité.
« Google est conscient qu’un exploit pour CVE-2024-4671 existe dans la nature”, indique l’avis sans fournir d’informations supplémentaires.
Les failles Use after-free sont des failles de sécurité qui se produisent lorsqu’un programme continue d’utiliser un pointeur après que la mémoire vers laquelle il pointe a été libérée, après l’achèvement de ses opérations légitimes sur cette région.
Étant donné que la mémoire libérée peut désormais contenir des données différentes ou être utilisée par d’autres logiciels ou composants, son accès peut entraîner une fuite de données, l’exécution de code ou un plantage.
Google a résolu le problème avec la sortie de 124.0.6367.201/.202 pour Mac / Windows et 124.0.6367.201 pour Linux, avec les mises à jour déployées au cours des prochains jours/semaines.
Pour les utilisateurs du canal « Stable étendu », des correctifs seront disponibles dans la version 124.0.6367.201 pour Mac et Windows, également à déployer ultérieurement.
Chrome se met à jour automatiquement lorsqu’une mise à jour de sécurité est disponible, mais les utilisateurs peuvent confirmer qu’ils exécutent la dernière version en accédant à Paramètres > À propos de Chrome, en laissant la mise à jour se terminer, puis en cliquant sur le bouton « Relancer » pour l’appliquer.
Cette dernière faille corrigée dans Google Chrome est la cinquième cette année, avec trois autres découvertes lors du concours de piratage Pwn2Own de mars 2024 à Vancouver.
La liste complète des vulnérabilités Chrome zero-day corrigées depuis le début de 2024 comprend également les éléments suivants:
- CVE-2024-0519: Une faiblesse d’accès mémoire hors limites de haute gravité dans le moteur JavaScript Chrome V8, permettant aux attaquants distants d’exploiter la corruption de tas via une page HTML spécialement conçue, entraînant un accès non autorisé à des informations sensibles.
- CVE-2024-2887: Une faille de confusion de type de gravité élevée dans la norme WebAssembly (Wasm). Cela pourrait conduire à des exploits d’exécution de code à distance (RCE) exploitant une page HTML contrefaite.
- CVE-2024-2886: Une vulnérabilité d’utilisation après libération dans l’API WebCodecs utilisée par les applications Web pour encoder et décoder l’audio et la vidéo. Des attaquants distants l’ont exploité pour effectuer des lectures et des écritures arbitraires via des pages HTML contrefaites, conduisant à l’exécution de code à distance.
- CVE-2024-3159: Une vulnérabilité de gravité élevée causée par une lecture hors limites dans le moteur JavaScript Chrome V8. Des attaquants distants ont exploité cette faille en utilisant des pages HTML spécialement conçues pour accéder aux données au-delà de la mémoire tampon allouée, ce qui a entraîné une corruption du tas qui pourrait être exploitée pour extraire des informations sensibles.