Google corrige une autre vulnérabilité Chrome Zero-Day activement exploitée
Google a déployé des correctifs pour résoudre un ensemble de neuf problèmes de sécurité dans son navigateur Chrome, y compris un nouveau zero-day qui a été exploité de manière sauvage.
Attribuée à l’identifiant CVE CVE-2024-4947 , la vulnérabilité est liée à un bug de confusion de types dans le moteur JavaScript et WebAssembly V8. Cela a été rapporté par les chercheurs de Kaspersky Vasily Berdnikov et Boris Larin le 13 mai 2024.
Des vulnérabilités liées à la confusion de types surviennent lorsqu’un programme tente d’accéder à une ressource avec un type incompatible. Cela peut avoir de graves conséquences car il permet aux acteurs malveillants d’effectuer un accès mémoire hors limites, de provoquer un crash et d’exécuter du code arbitraire.
Ce développement marque le troisième jour zéro que Google corrige en une semaine après CVE-2024-4671 et CVE-2024-4761 .
Comme c’est généralement le cas, aucun détail supplémentaire sur les attaques n’est disponible et a été caché pour empêcher toute exploitation ultérieure. “Google est conscient qu’un exploit pour CVE-2024-4947 existe dans la nature”, a déclaré la société .
Avec CVE-2024-4947, un total de sept jours zéro ont été résolus par Google dans Chrome depuis le début de l’année –
- CVE-2024-0519 – Accès mémoire hors limites dans la V8
- CVE-2024-2886 – Utilisation après libération dans les WebCodecs (démonstration à Pwn2Own 2024)
- CVE-2024-2887 – Confusion de types dans WebAssembly (démonstration à Pwn2Own 2024)
- CVE-2024-3159 – Accès mémoire hors limites dans la V8 (démonstration à Pwn2Own 2024)
- CVE-2024-4671 – Utilisation après libération dans les visuels
- CVE-2024-4761 – Écriture hors limites en V8
Il est recommandé aux utilisateurs de passer à la version 125.0.6422.60/.61 de Chrome pour Windows et macOS et à la version 125.0.6422.60 pour Linux afin d’atténuer les menaces potentielles.
Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs dès qu’ils sont disponibles.