Google Chrome: Un nouvel exploit zero-day a été publié sur Twitter

0

Un nouvel exploit zero-day d’exécution de code à distance de Chromium a été publié sur Twitter la semaine dernière. Il affecte les versions actuelles de Google Chrome, Microsoft Edge, et probablement d’autres navigateurs basés sur Chromium.

Le terme de vulnérabilité zero-day signifie que les informations détaillées sur une vulnérabilité ou un exploit sont publiées avant que les développeurs des logiciels affectés puissent les corriger. Ces vulnérabilités présentent un risque important pour les utilisateurs car elles permettent aux pirates informatique de commencer à les utiliser avant qu’un correctif ne soit publié.

Un chercheur en sécurité connu sous le nom de frust a publié une preuve de concept de l’exploit sur Twitter pour une faille zero-day de navigateur basé sur Chromium qui pousse l’application de Bloc-Notes de Windows à s’ouvrir.

Cette nouvelle vulnérabilité zero-day s’est présentée un jour après que Google ait déployé Chrome 89.0.4389.128 pour corriger une autre vulnérabilité zero-day de Chromium qui a été rendue publique précédemment.

Comme l’autre vulnérabilité zero-day, la faille d’exécution de code à distance de Frust n’est pas capable d’échapper à la fonction de sécurité du bac à sable de Chrome. Le bac à sable de Chrome est une fonctionnalité de sécurité qui empêche les exploits d’exécuter du code ou d’accéder à des fichiers sur les ordinateurs hôtes.

À moins qu’un pirate informatique associe la nouvelle faille zero-day avec une vulnérabilité d’évasion de bac à sable non patchée, le nouveau zero-day dans son état actuel ne peut pas nuire aux utilisateurs à moins qu’ils ne désactivent le bac à sable.

Frust a publié une vidéo démontrant l’exploitation de la vulnérabilité exploitée pour prouver que leur preuve de concept fonctionne.

Des chercheurs ont également confirmé indépendamment que la vulnérabilité fonctionne en lançant les versions actuelles de Google Chrome et Microsoft Edge en utilisant –no-sandbox arugument, qui désactive la fonction de sécurité de bac à sable.

Après avoir désactivé le bac à sable, l’exploit pourrait lancer le Bloc-Note sur Google Chrome 89.0.4389.128 et Microsoft Edge 89.0.774.76, qui étaient les dernières versions des deux navigateurs lors des tests.

Google a déployé Chrome 90 le 13 Avril, mais a publié une nouvelle version de Chrome pour corriger la faille zero-day le 12 Avril.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.