Google a corrigé mardi sept failles de sécurité dans le navigateur Web Chrome, dont deux zero-days exploitées lors du concours de piratage Pwn2Own Vancouver 2024.

Le premier (suivi comme CVE-2024-2887) est une faiblesse de confusion de type de gravité élevée dans le standard ouvert WebAssembly (Wasm). Manfred Paul a démontré cette vulnérabilité le premier jour de Pwn2Own dans le cadre d’un exploit d’exécution de code à distance (RCE) à double pression utilisant une page HTML contrefaite et ciblant à la fois Chrome et Edge.

Le deuxième jour zéro est suivi comme CVE-2024-2886 et a été exploité par Seunghyun Lee de KAIST Hacking Lab lors de la deuxième journée du concours CanSecWest Pwn2Own.

Décrite comme une faiblesse d’utilisation après libération (UAF) de l’API WebCodecs utilisée par les applications Web pour encoder et décoder du contenu audio et vidéo, elle permet aux attaquants distants d’effectuer des lectures/écritures arbitraires via des pages HTML contrefaites.

Lee a également utilisé CVE-2024-2886 pour obtenir l’exécution de code à distance à l’aide d’un seul exploit ciblant à la fois Google Chrome et Microsoft Edge.

Google a corrigé les deux jours zéro dans le canal stable de Google Chrome, version 123.0.6312.86/.87 pour Windows et Mac et 123.0.6312.86 pour les utilisateurs de Linux, qui seront déployés dans le monde entier au cours des prochains jours.

Mozilla a également corrigé deux Firefox zero-days exploités par Manfred Paul lors de Pwn2Own Vancouver 2024 le même jour où les bogues ont été présentés.

Bien qu’il n’ait fallu qu’un jour à Mozille et cinq jours à Google pour corriger ces vulnérabilités, les fournisseurs prennent généralement leur temps pour publier des correctifs pour les failles de sécurité présentées à Pwn2Own, car ils disposent de 90 jours pour apporter des correctifs jusqu’à ce que l’initiative Zero Day de Trend Micro divulgue publiquement les détails du bogue.

En janvier, Google a également corrigé un jour zéro activement exploité dans Chrome (CVE-2024-0519) qui permettait aux attaquants d’accéder à des informations sensibles ou de planter des navigateurs non corrigés en raison d’une faiblesse d’accès mémoire hors limites dans le moteur JavaScript Chrome V8.

Le concours Pwn2Own 2024 de Vancouver s’est terminé le 22 mars, les chercheurs en sécurité ayant gagné 1 132 500 $pour avoir démontré 29 exploits et chaînes d’exploits zero-day sur deux jours.

Manfred Paul est devenu le gagnant de cette année avec 202 500 prizes en prix en espèces après avoir retiré les navigateurs Web Apple Safari, Google Chrome et Microsoft Edge.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *