Google a publié des mises à jour de sécurité d’urgence pour le navigateur Chrome afin de remédier à une vulnérabilité zero-day de haute gravité marquée comme exploitée dans des attaques.

Ce correctif intervient seulement trois jours après que Google a corrigé une autre vulnérabilité zero-day dans Chrome, CVE-2024-4671, causée par une faiblesse d’utilisation après libération dans le composant Visuels.

Le dernier bogue est suivi comme CVE-2024-4761. Il s’agit d’un problème d’écriture hors limites affectant le moteur JavaScript V8 de Chrome, qui est responsable de l’exécution du code JS dans l’application.

Des problèmes d’écriture hors limites se produisent lorsqu’un programme est autorisé à écrire des données en dehors du tableau ou du tampon spécifié, ce qui peut entraîner un accès non autorisé aux données, une exécution de code arbitraire ou des plantages de programme.

« Google est conscient qu’un exploit pour CVE-2024-4761 existe dans la nature”, lit-on dans l’avis.

La société a corrigé la faille de sécurité avec la sortie de 124.0.6367.207/.208 pour Mac / Windows et 124.0.6367.207 pour Linux. Les mises à jour seront déployées auprès de tous les utilisateurs au cours des prochains jours/semaines.

Pour les utilisateurs du canal « Stable étendu », des correctifs seront disponibles dans la version 124.0.6367.207 pour Mac et Windows.

Chrome se met à jour automatiquement lorsqu’une mise à jour de sécurité est disponible, mais les utilisateurs peuvent confirmer qu’ils exécutent la dernière version en accédant à Paramètres > À propos de Chrome, en laissant la mise à jour se terminer, puis en cliquant sur le bouton « Relancer » pour l’appliquer.

Sixième jour zéro exploité dans les attaques
Cette dernière vulnérabilité de Google Chrome est le sixième bogue zero-day découvert et corrigé dans le navigateur Web populaire depuis le début de l’année.

La société note qu’un chercheur anonyme a signalé la faille le 9 mai 2024, mais aucun autre détail n’a été divulgué pour le moment.

« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif. Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore été corrigés”, a déclaré Google.

Les failles Chrome zero-day corrigées en 2024 jusqu’à présent incluent:

  • CVE-2024-0519: Une faiblesse d’accès mémoire hors limites de haute gravité dans le moteur JavaScript Chrome V8, permettant aux attaquants distants d’exploiter la corruption de tas via une page HTML spécialement conçue, entraînant un accès non autorisé à des informations sensibles.
  • CVE-2024-2887: Une faille de confusion de type de gravité élevée dans la norme WebAssembly (Wasm). Cela pourrait conduire à des exploits d’exécution de code à distance (RCE) exploitant une page HTML contrefaite.
  • CVE-2024-2886: Une vulnérabilité d’utilisation après libération dans l’API WebCodecs utilisée par les applications Web pour encoder et décoder l’audio et la vidéo. Des attaquants distants l’ont exploité pour effectuer des lectures et des écritures arbitraires via des pages HTML contrefaites, conduisant à l’exécution de code à distance.
  • CVE-2024-3159: Une vulnérabilité de gravité élevée causée par une lecture hors limites dans le moteur JavaScript Chrome V8. Des attaquants distants ont exploité cette faille en utilisant des pages HTML spécialement conçues pour accéder aux données au-delà de la mémoire tampon allouée, ce qui a entraîné une corruption du tas qui pourrait être exploitée pour extraire des informations sensibles.
  • CVE-2024-4671: Une faille d’utilisation après libération de gravité élevée dans le composant Visuals qui gère le rendu et l’affichage du contenu sur le navigateur.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *