Google a publié une nouvelle mise à jour de sécurité Chrome d’urgence pour remédier à la troisième vulnérabilité zero-day exploitée lors d’attaques en une semaine.
« Google est conscient qu’un exploit pour CVE-2024-4947 existe dans la nature », a déclaré le géant de la recherche dans un avis de sécurité publié mercredi.
La vulnérabilité zero-day de gravité élevée (CVE-2024-4947) est causée par une faiblesse de confusion de type dans le moteur JavaScript Chrome V8 signalée par Vasily Berdnikov et Boris Larin de Kaspersky.
Bien que de telles failles permettent généralement aux auteurs de menaces de déclencher des plantages du navigateur en lisant ou en écrivant de la mémoire hors des limites de la mémoire tampon, ils peuvent également les exploiter pour exécuter du code arbitraire sur des périphériques ciblés.
Les deux autres Chrome zero-days activement exploités corrigés cette semaine sont CVE-2024-4671 (une faille d’utilisation après libération dans le composant Visuels) et CVE-2024-4761 (un bogue d’écriture hors limites dans le moteur JavaScript V8).
Microsoft a également déclaré qu’il était « conscient des récents exploits existant dans la nature » ciblant CVE-2024-4947 et que ses ingénieurs « travaillaient activement à la publication d’un correctif de sécurité » pour le navigateur Web Edge basé sur Chromium.
Correction du déploiement vers les utilisateurs de canaux stables
La société a corrigé la faille zero-day avec la sortie de 125.0.6422.60/.61 pour Mac / Windows et 125.0.6422.60 (Linux). Les nouvelles versions seront déployées pour tous les utilisateurs du canal de bureau stable au cours des prochaines semaines.
Chrome se met à jour automatiquement lorsque des correctifs de sécurité sont disponibles. Cependant, les utilisateurs peuvent également confirmer qu’ils exécutent la dernière version en accédant au menu Chrome > Aide > À propos de Google Chrome, en laissant la mise à jour se terminer, puis en cliquant sur le bouton « Relancer » pour l’installer.
La mise à jour d’aujourd’hui était immédiatement disponible lorsque Breachtrace a recherché de nouvelles mises à jour.
Septième patch zero-day activement exploité en 2024
Alors que Google a confirmé que le bogue CVE-2024-4947 a été utilisé dans des attaques, la société n’a pas encore partagé plus de détails concernant ces incidents.
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif. Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore été corrigés », a déclaré Google.
Cette dernière vulnérabilité Chrome est le septième jour zéro corrigé dans le navigateur Web de Google depuis le début de l’année, avec la liste complète des jours zéro corrigés en 2024, y compris:
- CVE-2024-0519: Une faiblesse d’accès mémoire hors limites de haute gravité dans le moteur JavaScript Chrome V8, permettant aux attaquants distants d’exploiter la corruption de tas via une page HTML spécialement conçue, entraînant un accès non autorisé à des informations sensibles.
- CVE-2024-2887: Une faille de confusion de type de gravité élevée dans la norme WebAssembly (Wasm). Cela pourrait conduire à des exploits d’exécution de code à distance (RCE) exploitant une page HTML contrefaite.
- CVE-2024-2886: Une vulnérabilité d’utilisation après libération dans l’API WebCodecs utilisée par les applications Web pour encoder et décoder l’audio et la vidéo. Des attaquants distants l’ont exploité pour effectuer des lectures et des écritures arbitraires via des pages HTML contrefaites, conduisant à l’exécution de code à distance.
- CVE-2024-3159: Une vulnérabilité de gravité élevée causée par une lecture hors limites dans le moteur JavaScript Chrome V8. Des attaquants distants ont exploité cette faille en utilisant des pages HTML spécialement conçues pour accéder aux données au-delà de la mémoire tampon allouée, ce qui a entraîné une corruption du tas qui pourrait être exploitée pour extraire des informations sensibles.
- CVE-2024-4671: Une faille d’utilisation après libération de gravité élevée dans le composant Visuels qui gère le rendu et l’affichage du contenu dans le navigateur.
- CVE-2024-4761: Un problème d’écriture hors limites dans le moteur JavaScript V8 de Chrome, qui est responsable de l’exécution du code JS dans l’application.