Google Corrige la Troisième Vulnérabilité Zero-day de Chrome en Une Semaine

Google a publié lundi une mise à jour de sécurité d’urgence pour son navigateur Chrome afin de corriger un nouveau zero-day qui a été exploité dans la nature.

C’est la troisième faille zero-day exploitée de Chrome qui a été corrigée en une semaine et la septième exploitation zero-day ciblant les utilisateurs de Chrome cette année.

La vulnérabilité, qui a reçu l’identifiant CVE ‘CVE-2024-4947,’ affectait la confusion de type dans V8 JavaScript et le moteur WebAssembly dans Google Chrome, un composant important responsable de l’exécution des applications web et des sites web.

Cette vulnérabilité zero-day de haute sévérité peut être particulièrement dangereuse.

Elle permet à un attaquant distant d’exécuter du code arbitraire à l’intérieur d’un bac à sable via une page HTML conçue, compromettant potentiellement des données sensibles et prenant le contrôle des appareils ciblés.

La faille a été identifiée par les chercheurs de Kaspersky, Vasily Berdnikov et Boris Larin, et signalée à Google le 13 mai 2024.

« Google est conscient qu’un exploit pour CVE-2024-4947 existe dans la nature », a écrit le géant de la recherche dans un avis de sécurité publié mercredi.

L’entreprise a rapidement traité la faille zero-day avec la sortie de Chrome 125.0.6422.60 (Linux) et 125.0.6422.60/.61 (Windows, Mac), qui apporte plusieurs corrections et améliorations aux navigateurs.

Les nouvelles versions devraient être déployées à tous les utilisateurs dans le cadre d’une mise à jour du canal stable dans les jours et semaines à venir.

Bien que Google ait confirmé que la faille CVE-2024-4947 a été exploitée dans la nature, l’entreprise n’a pas fourni d’informations supplémentaires sur ces attaques pour éviter d’autres exploitations par d’autres cybercriminels.

« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif. Nous maintiendrons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent également, mais qui n’ont pas encore été corrigés », a déclaré Google.

Bien que Chrome se mette automatiquement à jour lorsque des correctifs de sécurité sont disponibles, il est recommandé aux utilisateurs de mettre à niveau manuellement vers la version 125.0.6422.60 de Chrome pour Linux et la version 125.0.6422.60/.61 pour Windows et macOS afin de se protéger contre d’éventuelles cyberattaques.