Aujourd’hui, Google a révélé avoir corrigé le dixième jour zéro exploité à l’état sauvage en 2024 par des attaquants ou des chercheurs en sécurité lors de concours de piratage.

Suivie sous le numéro CVE-2024-7965 et signalée par un chercheur en sécurité connu uniquement sous le nom de TheDog, la vulnérabilité de gravité élevée désormais corrigée est causée par un bogue dans le backend du compilateur lors de la sélection des instructions à générer pour la compilation juste à temps (JIT).

Google décrit la vulnérabilité comme une implémentation inappropriée dans le moteur JavaScript V8 de Google Chrome qui peut permettre à des attaquants distants d’exploiter la corruption de tas via une page HTML contrefaite.

Cela a été annoncé dans une mise à jour d’un article de blog où la société a révélé la semaine dernière qu’elle avait corrigé une autre vulnérabilité zero-day de gravité élevée (CVE-2024-7971) causée par une faiblesse de confusion de type V8.

« Mis à jour le 26 août 2024 pour refléter l’exploitation sauvage de CVE-2024-7965 qui a été signalée après cette publication », a déclaré la société dans la mise à jour d’aujourd’hui. « Google est conscient que les exploits pour CVE-2024-7971 et CVE-2024-7965 existent dans la nature. »

Google a corrigé les deux jours zéro dans la version Chrome 128.0.6613.84/.85 pour les systèmes Windows/macOS et les utilisateurs de Linux version 128.0.6613.84, qui ont été déployés pour tous les utilisateurs du canal de bureau stable depuis mercredi.

Même si Chrome se mettra automatiquement à jour lorsque des correctifs de sécurité seront disponibles, vous pouvez également accélérer ce processus et appliquer les mises à jour manuellement en accédant au menu Chrome > Aide > À propos de Google Chrome, en laissant la mise à jour se terminer et en cliquant sur le bouton « Relancer » pour l’installer.

Bien que Google ait confirmé que les vulnérabilités CVE-2024-7971 et CVE-2024-7965 ont été utilisées dans la nature, il n’a pas encore partagé plus d’informations concernant ces attaques.

« L’accès aux détails des bogues et aux liens peut rester restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », indique Google.

« Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais qui n’ont pas encore été corrigés. »

Depuis le début de l’année, Google a corrigé huit autres zero-days marqués comme exploités dans des attaques ou lors du concours de piratage Pwn2Own:

  • CVE-2024-0519: Une faiblesse d’accès mémoire hors limites de haute gravité dans le moteur JavaScript Chrome V8, permettant aux attaquants distants d’exploiter la corruption de tas via une page HTML spécialement conçue, entraînant un accès non autorisé à des informations sensibles.
  • CVE-2024-2887: Une faille de confusion de type de gravité élevée dans la norme WebAssembly (Wasm). Cela pourrait conduire à des exploits d’exécution de code à distance (RCE) exploitant une page HTML contrefaite.
  • CVE-2024-2886: Une vulnérabilité d’utilisation après libération dans l’API WebCodecs utilisée par les applications Web pour encoder et décoder l’audio et la vidéo. Des attaquants distants l’ont exploité pour effectuer des lectures et des écritures arbitraires via des pages HTML contrefaites, conduisant à l’exécution de code à distance.
  • CVE-2024-3159: Une vulnérabilité de gravité élevée causée par une lecture hors limites dans le moteur JavaScript Chrome V8. Des attaquants distants ont exploité cette faille en utilisant des pages HTML spécialement conçues pour accéder aux données au-delà de la mémoire tampon allouée, ce qui a entraîné une corruption du tas qui pourrait être exploitée pour extraire des informations sensibles.
  • CVE-2024-4671: Une faille d’utilisation après libération de gravité élevée dans le composant Visuels qui gère le rendu et l’affichage du contenu dans le navigateur.
  • CVE-2024-4761: Un problème d’écriture hors limites dans le moteur JavaScript V8 de Chrome, qui est responsable de l’exécution du code JS dans l’application.
  • CVE-2024-4947: Faiblesse de confusion de type dans le moteur JavaScript Chrome V8 permettant l’exécution de code arbitraire sur la machine cible.
  • CVE-2024-5274: Une confusion de type du moteur JavaScript V8 de Chrome pouvant entraîner des plantages, une corruption de données ou une exécution de code arbitraire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *