Google corrige un autre Chrome zero-day exploité à Pwn2Own

Google a corrigé une autre vulnérabilité zero-day dans le navigateur Chrome, qui a été exploitée par des chercheurs en sécurité lors du concours de piratage Pwn2Own le mois dernier.

Répertoriée sous le numéro CVE-2024-3159, cette faille de sécurité de grande gravité est causée par une faiblesse de lecture hors limites dans le moteur JavaScript Chrome V8.

Les attaquants distants peuvent exploiter la vulnérabilité en utilisant des pages HTML contrefaites pour accéder aux données au-delà de la mémoire tampon via une corruption de tas, ce qui peut leur fournir des informations sensibles ou déclencher un plantage.

Edouard Bochin et Tao Yan, chercheurs en sécurité de Palo Alto Networks, ont fait une démonstration du jour zéro le deuxième jour de Pwn2Own Vancouver 2024 pour vaincre le durcissement de la V8.

Leur exploit de double tap leur a permis d’exécuter du code arbitraire sur Google Chrome et Microsoft Edge, ce qui leur a valu une récompense de 42 500$.

Google a maintenant corrigé le jour zéro dans la version stable du canal Google Chrome 123.0.6312.105/.106/.107 (Windows et Mac) et 123.0.6312.105 (Linux), qui seront déployés dans le monde entier au cours des prochains jours.

Confirmed! @le_douds and @Ga1ois from Palo Alto used an OOB Read plus a novel technique for defeating V8 hardening to get arbitrary code execution in the renderer. The were aboe to exploit #Chrome and #Edge with the same bugs, earning $42,500 and 9 Master of Pwn points. #Pwn2Own pic.twitter.com/EhFIEntnPw

— Zero Day Initiative (@thezdi) March 21, 2024

Il y a une semaine, Google a corrigé deux autres jours zéro Chrome exploités à Pwn2Own Vancouver 2024. La première, une faiblesse de confusion de type de gravité élevée (CVE-2024-2887) dans le standard ouvert WebAssembly (Wasm), a été ciblée par l’exploit RCE à double tap de Manfred Paul qui ciblait à la fois Chrome et Edge.

La seconde, une faiblesse d’utilisation après libération (UAF) dans l’API WebCodecs (CVE-2024-2886) , a également été exploitée par Seunghyun Lee de KAIST Hacking Lab pour obtenir l’exécution de code à distance sur les deux navigateurs Web Chromium.

Mozilla a également corrigé deux Firefox zero-days exploités par Manfred Paul lors du concours Pwn2Own de Vancouver de cette année le même jour où les bogues ont été exploités.

Alors que Google et Mozilla ont publié des correctifs de sécurité en une semaine, les fournisseurs prennent généralement leur temps pour corriger Pwn2Own zero-days puisque l’initiative Zero Day de Trend Micro divulgue publiquement les détails des bogues après 90 jours.

Au total, Google a corrigé quatre jours zéro Chrome cette année, le quatrième étant traité en janvier comme un jour zéro activement exploité (CVE-2024-0519) qui permettait aux attaquants de planter des navigateurs non corrigés ou d’accéder à des informations sensibles en raison d’une faiblesse d’accès à la mémoire hors limites dans le moteur JavaScript V8.

Mardi, la société a également corrigé deux jours zéro Android exploités par des cabinets médico-légaux pour déverrouiller les téléphones Pixel sans code PIN et accéder aux données qui y sont stockées.