Aujourd’hui, Google a publié une nouvelle mise à jour de sécurité d’urgence Chrome pour corriger une vulnérabilité zero-day étiquetée comme des attaques exploitées.
« Google est conscient qu’un exploit pour CVE-2024-7971 existe dans la nature », a déclaré la société dans un avis publié mercredi.
Cette vulnérabilité zero-day de gravité élevée est causée par une faiblesse de confusion de type dans le moteur JavaScript V8 de Chrome. Des chercheurs en sécurité du Microsoft Threat Intelligence Center (MSTIC) et du Microsoft Security Response Center (MSRC) l’ont signalé lundi.
Bien que de telles failles de sécurité puissent généralement permettre aux attaquants de déclencher des plantages de navigateur après que les données allouées en mémoire soient interprétées comme un type différent, ils peuvent également les exploiter pour exécuter du code arbitraire sur des appareils ciblés exécutant des navigateurs non corrigés.
Google a corrigé le jour zéro avec la sortie de 128.0.6613.84/.85 pour Windows / macOS et 128.0.6613.84 (Linux), versions qui seront déployées auprès de tous les utilisateurs du canal de bureau stable au cours des prochaines semaines.
Alors que Chrome se met à jour automatiquement lorsque des correctifs de sécurité sont disponibles, les utilisateurs peuvent également accélérer le processus en accédant au menu Chrome > Aide > À propos de Google Chrome, en laissant la mise à jour se terminer et en cliquant sur le bouton « Relancer » pour l’installer.
La mise à jour d’aujourd’hui était immédiatement disponible lorsque Breachtrace a recherché de nouvelles mises à jour aujourd’hui.
Même si Google a confirmé que la vulnérabilité CVE-2024-7971 a été utilisée dans des attaques, la société n’a pas encore partagé d’informations supplémentaires concernant l’exploitation dans la nature.
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google.
« Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais qui n’ont pas encore été corrigés. »
CVE-2024-7971 est le neuvième correctif Chrome zero-day activement exploité par Google en 2024, avec la liste complète des zero-days corrigés cette année, y compris:
- CVE-2024-0519: Une faiblesse d’accès mémoire hors limites de haute gravité dans le moteur JavaScript Chrome V8, permettant aux attaquants distants d’exploiter la corruption de tas via une page HTML spécialement conçue, entraînant un accès non autorisé à des informations sensibles.
- CVE-2024-2887: Une faille de confusion de type de gravité élevée dans la norme WebAssembly (Wasm). Cela pourrait conduire à des exploits d’exécution de code à distance (RCE) exploitant une page HTML contrefaite.
- CVE-2024-2886: Une vulnérabilité d’utilisation après libération dans l’API WebCodecs utilisée par les applications Web pour encoder et décoder l’audio et la vidéo. Des attaquants distants l’ont exploité pour effectuer des lectures et des écritures arbitraires via des pages HTML contrefaites, conduisant à l’exécution de code à distance.
- CVE-2024-3159: Une vulnérabilité de gravité élevée causée par une lecture hors limites dans le moteur JavaScript Chrome V8. Des attaquants distants ont exploité cette faille en utilisant des pages HTML spécialement conçues pour accéder aux données au-delà de la mémoire tampon allouée, ce qui a entraîné une corruption du tas qui pourrait être exploitée pour extraire des informations sensibles.
- CVE-2024-4671: Une faille d’utilisation après libération de gravité élevée dans le composant Visuals qui gère le rendu et l’affichage du contenu dans le navigateur.
- CVE-2024-4761: Un problème d’écriture hors limites dans le moteur JavaScript V8 de Chrome, qui est responsable de l’exécution du code JS dans l’application.
- CVE-2024-4947: Faiblesse de confusion de type dans le moteur JavaScript Chrome V8 permettant l’exécution de code arbitraire sur la machine cible.
- CVE-2024-5274: Une confusion de type du moteur JavaScript V8 de Chrome pouvant entraîner des plantages, une corruption de données ou une exécution de code arbitraire