Google a publié une nouvelle mise à jour de sécurité d’urgence pour remédier à la huitième vulnérabilité zero-day du navigateur Chrome confirmée comme étant activement exploitée dans la nature.
Le problème de sécurité a été découvert en interne par Clément Lecigne de Google et est suivi sous le numéro CVE-2024-5274. Il s’agit d’une « confusion de type » de grande gravité dans la V8, le moteur JavaScript de Chrome responsable de l’exécution du code JS.
« Google est conscient qu’un exploit pour CVE-2024-5274 existe dans la nature », a déclaré la société dans l’avis de sécurité.
Une vulnérabilité de « confusion de type » se produit lorsqu’un programme alloue un morceau de mémoire pour contenir un certain type de données mais interprète à tort les données comme un type différent. Cela peut entraîner des plantages, une corruption des données, ainsi que l’exécution de code arbitraire.
Google n’a pas partagé de détails techniques sur la faille pour protéger les utilisateurs contre les tentatives d’exploitation potentielles d’autres acteurs de la menace et leur permettre d’installer une version de navigateur qui résout le problème.
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif. Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore été corrigés », a déclaré le géant de la technologie.
Correctif disponible sur Chrome Stable
Le correctif de Google est en cours de déploiement sur le canal stable de Chrome dans la version 125.0.6422.112/.113 pour Windows et Mac, tandis que les utilisateurs de Linux recevront la mise à jour sur la version 125.0.6422.112 dans les semaines à venir.
Chrome installe automatiquement les mises à jour de sécurité importantes et elles prennent effet après le redémarrage du navigateur. Les utilisateurs peuvent confirmer qu’ils utilisent la dernière version dans la section À propos du menu Paramètres.
Si une mise à jour est disponible, les utilisateurs doivent attendre la fin du processus de mise à jour, puis cliquer sur le bouton « Relancer » pour l’appliquer.
Troisième jour zéro activement exploité ce mois-ci
CVE-2024-5274 est la huitième vulnérabilité activement exploitée que Google a corrigée dans Chrome depuis le début de l’année, et la troisième ce mois-ci.
Dans le même temps, la décision précédente de Google de réduire la livraison des mises à jour de sécurité de Chrome de deux à une fois par semaine résout le problème des lacunes en matière de correctifs qui donne aux auteurs de menaces plus de temps pour exploiter les failles zero-day.
Les failles zero-day activement exploitées dans Chrome qui ont été corrigées plus tôt cette année sont:
- CVE-2024-0519: Une faiblesse d’accès mémoire hors limites de haute gravité dans le moteur JavaScript Chrome V8, permettant aux attaquants distants d’exploiter la corruption de tas via une page HTML spécialement conçue, entraînant un accès non autorisé à des informations sensibles.
- CVE-2024-2887: Une faille de confusion de type de gravité élevée dans la norme WebAssembly (Wasm). Cela pourrait conduire à des exploits d’exécution de code à distance (RCE) exploitant une page HTML contrefaite.
- CVE-2024-2886: Une vulnérabilité d’utilisation après libération dans l’API WebCodecs utilisée par les applications Web pour encoder et décoder l’audio et la vidéo. Des attaquants distants l’ont exploité pour effectuer des lectures et des écritures arbitraires via des pages HTML contrefaites, conduisant à l’exécution de code à distance.
- CVE-2024-3159: Une vulnérabilité de gravité élevée causée par une lecture hors limites dans le moteur JavaScript Chrome V8. Des attaquants distants ont exploité cette faille en utilisant des pages HTML spécialement conçues pour accéder aux données au-delà de la mémoire tampon allouée, ce qui a entraîné une corruption du tas qui pourrait être exploitée pour extraire des informations sensibles.
- CVE-2024-4671: Une faille d’utilisation après libération de gravité élevée dans le composant Visuels qui gère le rendu et l’affichage du contenu dans le navigateur.
- CVE-2024-4761: Un problème d’écriture hors limites dans le moteur JavaScript V8 de Chrome, qui est responsable de l’exécution du code JS dans l’application.
- CVE-2024-4947: Faiblesse de confusion de type de gravité élevée dans le moteur JavaScript Chrome V8, permettant potentiellement l’exécution de code arbitraire sur la machine cible