google chrome

Google Chrome: Nouvelle vulnérabilité zero-day activement exploitée

Vous devez immédiatement mettre à jour votre navigateur Google Chrome.

Le chercheur en sécurité, Clement Lecigne, de l’équipe Threat Analysis Group de Google a découvert et signalé une vulnérabilité critique dans Chrome à la fin du mois dernier. Cette faille permettrait à un individu mal intentionné d’exécuter du code arbitraire à distance et de prendre le contrôle d’un PC.

La vulnérabilité, CVE-2019-5786, affecte le navigateur web sur tout les systèmes d’exploitation majeurs y compris Microsoft Windows, Apple macOS et Linux.

Sans révéler de détails techniques sur la vulnérabilité, l’équipe de sécurité de Chrome a expliqué que le problème est une vulnérabilité use-after-free dans le composant FileReader du navigateur Chrome, ce qui mène à des attaques d’exécution de code à distance.

Ce qui est le plus inquiétant c’est que Google a prévenu que cette vulnérabilité est activement exploitée par des hackers qui ciblent les utilisateurs de Chrome.

“L’accès aux détails du bug va être limité jusqu’à ce que la majorité des utilisateurs aient appliqués la mise à jour,” a précisé l’équipe de sécurité de Chrome. “Nous garderons aussi ces restrictions si le bug existe dans une librairie tiers qui est utilisée par d’autres projets qui n’ont pas encore été patché.”

FileReader est une API standard qui a été conçu pour permettre aux applications web de lire de manière asynchrone le contenu de fichiers (ou tampon de données brutes) stocké sur le PC de l’utilisateur, en utilisant les objets ‘File’ ou ‘Blob’ pour spécifier le fichier ou les données à lire.

update download google chrome

La vulnérabilité use-after-free est un bug de corruption de mémoire qui permet la corruption et la modification de données en mémoire, donnant la possibilité à un utilisateur d’élever ses privilèges sur un système affecté ou sur un logiciel.

La vulnérabilité use-after-free dans le composant FileReader permet à un individu mal intentionné d’élever ses privilèges sur le navigateur Chrome, lui permettant d’échapper aux protections sandbox et d’exécuter du code arbitraire sur le système ciblé.

Il semblerait que pour exploiter cette vulnérabilité, il suffit que les victimes ouvrent, ou soient redirigé vers, une page web spéciale.

Que faire pour se protéger de ces vulnérabilités sur Google Chrome?

Le patch pour cette faille de sécurité a été ajouté à la version Chrome update 72.0.3626.121 sur les systèmes d’exploitation Windows, Mac et Linux.

Vérifiez que vous utilisez bien cette dernière mise à jour.

Nous vous tiendrons au courant quand Google partagera les détails techniques de cette vulnérabilité.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de
trackback

[…] Les deux failles, jugées comme importantes, résident dans le composant Win32k que les hackers exploitent activement, cela rappelle le cas de Google la semaine dernière. […]