Google a publié mardi des mises à jour pour résoudre quatre problèmes de sécurité dans son navigateur Chrome, dont une faille zero-day activement exploitée.
Le problème, suivi comme CVE-2024-0519concerne un accès mémoire hors limites dans le moteur JavaScript et WebAssembly V8, qui peut être utilisé par des acteurs malveillants pour déclencher un crash.
« En lisant la mémoire hors limites, un attaquant pourrait être en mesure d’obtenir des valeurs secrètes, telles que des adresses mémoire, qui peuvent contourner des mécanismes de protection tels que ASLR afin d’améliorer la fiabilité et la probabilité d’exploiter une faiblesse distincte pour obtenir du code. exécution au lieu d’un simple déni de service », selon le Common Weakness Enumeration du MITRE (CWE).
Des détails supplémentaires sur la nature des attaques et les acteurs menaçants qui pourraient les exploiter ont été retenus pour tenter d’empêcher toute exploitation ultérieure. Le problème a été signalé de manière anonyme le 11 janvier 2024.
« L’accès à la mémoire hors limites dans la version V8 de Google Chrome antérieure à 120.0.6099.224 permettait à un attaquant distant d’exploiter potentiellement la corruption du tas via une page HTML contrefaite », lit-on dans un article. description du défaut sur la base de données nationale sur les vulnérabilités (NVD) du NIST.
Ce développement marque le premier jour zéro activement exploité à être corrigé par Google dans Chrome en 2024. L’année dernière, le géant de la technologie a résolu un total de 8 jours zéro activement exploités dans le navigateur.
Il est recommandé aux utilisateurs de passer à la version Chrome 120.0.6099.224/225 pour Windows, 120.0.6099.234 pour macOS et 120.0.6099.224 pour Linux afin d’atténuer les menaces potentielles.
Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs dès qu’ils sont disponibles.