Google publie une update importante de Chrome, corrigeant trois vulnérabilités majeures, et encourage ses utilisateurs à mettre à jour leur navigateur.
À la suite d'un rapport du CERT-FR (le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques), Google a récemment publié une mise à jour importante pour son navigateur Chrome, plébiscité par un milliard d'utilisateurs. Cette mise à jour vise à corriger trois vulnérabilités de sécurité critiques, comme au mois de mars dernier. Si elles sont exploitées, elles pourraient bien compromettre la confidentialité, l'intégrité et la disponibilité des systèmes des utilisateurs.
Bien que Google n'ait pas fourni de détails précis sur les risques associés à ces vulnérabilités, il est clair que leur exploitation pourrait avoir des conséquences graves. Le géant de Mountain View a fortement recommandé aux utilisateurs de Chrome de mettre à jour leur navigateur Web dès que possible.
3 vulnérabilités détectées, mais pas de faille zero day
Les vulnérabilités en question, CVE-2024-3157, CVE-2024-3516 et CVE-2024-3515 pointent chacune vers un problème spécifique qui, une fois exploité, peut entraîner des conséquences plus ou moins graves pour les utilisateurs de Chrome. Google n'a pas révélé les détails techniques spécifiques de chaque CVE au grand public, mais dans son rapport, la firme de Mountain View encourage ses utilisateurs à consulter les liens fournis pour obtenir plus d'informations. Toutefois, et c'est un moindre mal, ces vulnérabilités ne sont pas les attaques sophistiquées zero day qui font souvent les gros titres et des ravages en rapportant gros aux hackers. Mais pour la petite anecdote, les chercheurs qui les ont découvertes ont tout de même empoché la coquette somme de 10 à 20 000 dollars.
Dans le détail, l'une des vulnérabilités concerne une utilisation de mémoire après libération, où la mémoire libérée reste accessible. Cela signifie que même après qu'un programme a fini d'utiliser une certaine portion de mémoire, celle-ci reste accessible, ce qui peut être exploité par des attaquants pour accéder à des informations sensibles. Les autres vulnérabilités sont liées au rendu graphique, dont une qui passe par le processeur graphique (GPU). Ces vulnérabilités pourraient permettre à un attaquant d'exploiter des problèmes de sécurité non détaillés, compromettant ainsi la confidentialité, l'intégrité ou la disponibilité des systèmes des utilisateurs.
Google réagit avec une mise à jour de Chrome et une version bêta de V8 Sandbox
Face à ces vulnérabilités, Google a déjà mis à disposition des mises à jour pour les corriger. Il est impératif que les utilisateurs de Chrome fassent passer leur navigateur sur la dernière version stable pour se protéger contre ces failles de sécurité. Les liens vers le bulletin de sécurité de Google et les mises à jour sont disponibles dans le Bulletin de sécurité Google daté du 10 avril 2024. N'oubliez pas que la mise à jour de votre navigateur est une étape essentielle pour assurer la sécurité de votre système. Les hackers ont toujours un coup d'avance sur les vulnérabilités qu'ils peuvent exploiter et savent que bien souvent, certains utilisateurs tardent à effectuer les mises à jour pourtant régulières de leur système en général, et de Chrome en particulier.
En plus de la mise à jour du navigateur, Google a également introduit une version bêta de V8 Sandbox, le moteur JavaScript de Chrome. Selon l'entreprise, cette nouvelle version devrait empêcher la corruption de la mémoire dans V8 de se propager au sein du processus hôte, une étape nécessaire vers la sécurité de la mémoire. Cela signifie que même si une vulnérabilité est exploitée, les dommages seront limités au processus hôte, empêchant ainsi l'attaquant d'accéder à d'autres parties du système.
Pour conclure, et même si la firme de Mountain View n'a pour le moment pas indiqué si les vulnérabilités avaient été exploitées par des hackers ou non, un milliard d'utilisateurs avertis en valent deux, et Clubic s'en remet à la prudence de Google en vous conseillant également de mettre à jour votre version de Chrome.
