Google a publié des mises à jour de sécurité pour corriger la première vulnérabilité Chrome zero-day exploitée dans la nature depuis le début de l’année.
« Google est au courant d’informations selon lesquelles un exploit pour CVE-2024-0519 existe dans la nature », a déclaré la société dans un avis de sécurité publié mardi.
La société a corrigé le jour zéro pour les utilisateurs du canal de bureau stable, avec des versions corrigées déployées dans le monde entier pour les utilisateurs Windows (120.0.6099.224/225), Mac (120.0.6099.234) et Linux (120.0.6099.224) moins d’une semaine après avoir été signalé à Google.
Bien que Google indique que la mise à jour de sécurité pourrait prendre des jours ou des semaines pour atteindre tous les utilisateurs concernés, elle était disponible immédiatement lorsque Breachtrace a vérifié les mises à jour aujourd’hui.
Ceux qui préfèrent ne pas mettre à jour leur navigateur Web manuellement peuvent compter sur Chrome pour rechercher automatiquement les nouvelles mises à jour et les installer après le prochain lancement.
La vulnérabilité zero-day de gravité élevée (CVE-2024-0519) est due à une faiblesse d’accès mémoire hors limites de gravité élevée dans le moteur JavaScript Chrome V8, que les attaquants peuvent exploiter pour accéder aux données au-delà de la mémoire tampon, leur donnant accès à des informations sensibles ou déclenchant un plantage.
« La sentinelle attendue peut ne pas se trouver dans la mémoire hors limites, ce qui entraîne une lecture excessive des données, entraînant une erreur de segmentation ou un débordement de tampon », explique MITRE. « Le produit peut modifier un index ou effectuer une arithmétique de pointeur qui fait référence à un emplacement mémoire situé en dehors des limites du tampon. Une opération de lecture ultérieure produit alors des résultats indéfinis ou inattendus. »
Outre l’accès non autorisé à la mémoire hors limites, CVE-2024-0519 pourrait également être exploité pour contourner des mécanismes de protection tels que ASLR afin de faciliter l’exécution de code via une autre faiblesse.
Bien que Google soit au courant des exploits zero-day CVE-2024-0519 utilisés dans les attaques, la société n’a pas encore partagé d’autres détails concernant ces incidents.
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google. « Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais qui n’ont pas encore été corrigés. »
Aujourd’hui, Google a également corrigé les failles d’écriture hors limites (CVE-2024-0517) et de confusion de type (CVE-2024-0518) de la V8, permettant l’exécution de code arbitraire sur des appareils compromis.
L’année dernière, Google a corrigé huit bogues Chrome zero-day exploités dans des attaques suivies sous les noms CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136 et CVE-2023-2033.
Certains d’entre eux, comme CVE-2023-4762, ont été étiquetés comme des jours zéro utilisés pour déployer des logiciels espions sur des appareils vulnérables appartenant à des utilisateurs à haut risque, notamment des journalistes, des politiciens de l’opposition et des dissidents, plusieurs semaines après la publication des correctifs par l’entreprise.