Google Chrome: 1 vulnérabilité zero-day activement exploitée

Une nouvelle vulnérabilité a été découverte dans Google Chrome. Il est recommandé de mettre à jour votre navigateur Google Chrome le plus tôt possible.

Le chercheur en sécurité, Clement Lecigne, de l’équipe Threat Analysis Group de Google a découvert et signalé une vulnérabilité critique dans Chrome à la fin du mois dernier. Cette faille permettrait à un individu mal intentionné d’exécuter du code arbitraire à distance et de prendre le contrôle d’un PC.

google chrome

La vulnérabilité, CVE-2019-5786, affecte le navigateur web sur tout les systèmes d’exploitation majeurs y compris Microsoft Windows, Apple macOS et Linux.

Sans révéler de détails techniques sur la vulnérabilité, l’équipe de sécurité de Chrome a expliqué que le problème est une vulnérabilité use-after-free dans le composant FileReader du navigateur Chrome, ce qui mène à des attaques d’exécution de code à distance.

Ce qui est le plus inquiétant c’est que Google a prévenu que cette vulnérabilité est activement exploitée par des hackers qui ciblent les utilisateurs de Chrome.

“L’accès aux détails du bug va être limité jusqu’à ce que la majorité des utilisateurs aient appliqués la mise à jour,” a précisé l’équipe de sécurité de Chrome. “Nous garderons aussi ces restrictions si le bug existe dans une librairie tiers qui est utilisée par d’autres projets qui n’ont pas encore été patché.”

FileReader est une API standard qui a été conçu pour permettre aux applications web de lire de manière asynchrone le contenu des fichiers (ou tampon de données brutes) stocké sur le PC de l’utilisateur, en utilisant les objets ‘File’ ou ‘Blob’ pour spécifier le fichier ou les données à lire.

update download google chrome

La vulnérabilité use-after-free est un bug de corruption de mémoire qui permet la corruption et la modification de données en mémoire, donnant la possibilité à un utilisateur d’élever ses privilèges sur un système affecté ou sur un logiciel.

La vulnérabilité use-after-free dans le composant FileReader permet à un individu mal intentionné d’élever ses privilèges sur le navigateur Chrome, lui permettant d’échapper aux protections sandbox et d’exécuter du code arbitraire sur le système ciblé.

Il semblerait que pour exploiter cette vulnérabilité, il suffit que les victimes ouvrent, ou soient redirigé vers, une page web spéciale.

Que faire pour se protéger de ces vulnérabilités sur Google Chrome?

Le patch pour cette faille de sécurité a été ajouté à la version Chrome update 72.0.3626.121 sur les systèmes d’exploitation Windows, Mac et Linux.

Vérifiez que vous utilisez bien cette dernière mise à jour.

Nous vous tiendrons au courant quand Google partagera les détails techniques de cette vulnérabilité.

Si cet article vous a plu, jetez un œil à notre précédent article.

1
Poster un Commentaire

avatar
1 Fils de commentaires
0 Réponses de fil
0 Abonnés
 
Commentaire avec le plus de réactions
Le plus populaire des commentaires
0 Auteurs du commentaire
Microsoft Patch Tuesday - Mars 2019, 64 Patchs - TechSecuriteNews Auteurs de commentaires récents
  S’abonner  
le plus récent le plus ancien le plus populaire
Notifier de
trackback

[…] Les deux failles, jugées comme importantes, résident dans le composant Win32k que les hackers exploitent activement, cela rappelle le cas de Google la semaine dernière. […]