Un problème de sécurité « majeur » dans le navigateur Web Google Chrome, ainsi que des alternatives basées sur Chromium, pourraient permettre à des pages Web malveillantes d’écraser automatiquement le contenu du presse-papiers sans nécessiter le consentement ou l’interaction de l’utilisateur en les visitant simplement.
L’attaque par empoisonnement du presse-papiers aurait été accidentellement introduite dans la version 104 de Chrome, selon le développeur Jeff Johnson.
Bien que le problème existe également dans Apple Safari et Mozilla Firefox, ce qui rend le problème grave dans Chrome, c’est que l’exigence d’un geste de l’utilisateur pour copier le contenu dans le presse-papiers est actuellement rompue.
Les gestes de l’utilisateur incluent la sélection d’un morceau de texte et l’appui sur Ctrl+C (ou ⌘-C pour macOS) ou la sélection de « Copier » dans le menu contextuel.
« Par conséquent, un geste aussi innocent que cliquer sur un lien ou appuyer sur la touche fléchée pour faire défiler la page donne au site Web la permission d’écraser le presse-papiers de votre système », a déclaré Johnson. c’est noté.
La possibilité de remplacer les données du presse-papiers pose des problèmes de sécurité. Dans un scénario d’attaque hypothétique, un adversaire pourrait inciter une victime à visiter une page de destination malveillante et à réécrire l’adresse d’un portefeuille de crypto-monnaie précédemment copié par la cible avec un sous son contrôle, entraînant des transferts de fonds non autorisés.
Alternativement, les acteurs de la menace pourraient écraser le presse-papiers avec un lien vers des sites Web spécialement conçus, amenant les victimes à télécharger des logiciels dangereux.
« Pendant que vous naviguez sur une page Web, la page peut, à votre insu, effacer le contenu actuel de votre presse-papiers système, qui peut avoir été précieux pour vous, et le remplacer par tout ce que la page veut, ce qui pourrait être dangereux pour vous le lendemain. fois que vous collez », a expliqué Johnson.
Google est déjà au courant du problème et un correctif devrait être publié prochainement, compte tenu de la gravité de la faille et de la probabilité d’abus par des acteurs malveillants.
Dans l’intervalle, il est conseillé aux utilisateurs de s’abstenir d’ouvrir des pages Web entre les actions de couper/copier-coller et de vérifier leur presse-papiers avant d’effectuer des opérations sensibles sur le Web, telles que des transactions financières.
Le développement vient comme Google publié une nouvelle version de Chrome (105.0.5195.52/53/54) pour Windows, macOS et Linux avec des correctifs pour 24 lacunes, dont 10 concernent des bogues d’utilisation après libération dans Network Service, WebSQL, WebSQL, PhoneHub, entre autres .