Google vient de corriger la neuvième faille de sécurité zero-day de Chrome en 2024. Identifiée comme CVE-2024-7971, cette vulnérabilité de type confusion dans le moteur JavaScript V8 a été activement exploitée.
Pas de trêve olympique ni estivale pour Google qui ne fait pas chômer ses équipes de sécurité. Le responsable, Chrome, qui leur fait corriger la neuvième faille en presque neuf mois depuis le début de l'année.
Elle porte le désormais nom de code bien connu de CVE-2024-7971, et a été repérée par les chercheurs en sécurité de Microsoft. Elle concerne le moteur JavaScript V8, véritable cœur de Chrome. Et il a fallu agir vite. Des attaquants l'exploitaient déjà activement dans la nature avant qu'elle ne soit corrigée.
Mais là où les pessimistes n'y voient qu'une nouvelle faille zero-day, les adeptes du verre à moitié-plein se réjouissent d'un processus de détection et de correction bien huilé de la part de Google, qui répare plus vite que son ombre.
CVE-2024-7971 : une faille de type confusion qui fait trembler Chrome
La dernière vulnérabilité en date de Chrome, CVE-2024-7971, peut paraître « habituelle », mais il n'en est rien. Il s'agit d'une faille de type « confusion de type » dans le moteur JavaScript V8. En clair, le navigateur peut se tromper sur le type de donnée qu'il manipule et ouvrir la porte à des comportements imprévus et potentiellement dangereux, ce qu'adorent les hackers.
Les conséquences sont variables, du simple plantage du navigateur à l'exécution de code malveillant sur l'ordinateur de l'utilisateur. C'est ce dernier scénario qui inquiète le plus. D'autant que Google a confirmé que cette faille était déjà exploitée activement par des attaquants avant d'être corrigée, comme indiqué dans son rapport du jour.
Heureusement, Google, aguerri aux correctifs, n'a pas traîné pour colmater la brèche. Une mise à jour de sécurité est déjà disponible pour tous les utilisateurs de Chrome. Elle porte les versions 128.0.6613.84/.85 pour Windows et macOS, et 128.0.6613.84 pour Linux. Si votre navigateur ne s'est pas encore mis à jour automatiquement, n'attendez pas : lancez-la manuellement depuis le menu « À propos de Chrome » situé dans le coin supérieur droit du navigateur au sein des fameux « 3 petits points verticaux ».
2024, année noire pour Chrome ? Retour sur les 8 failles précédentes
Avec cette nouvelle vulnérabilité, Chrome atteint le chiffre impressionnant de 9 failles zero-day corrigées depuis le début de l'année. Un record peu enviable qui souligne à quel point le navigateur est une cible de choix pour les pirates.
Parmi les failles précédentes, on retrouve plusieurs problèmes dans le moteur V8, comme CVE-2024-4947 et CVE-2024-5274, également des confusions de type. D'autres composants de Chrome ont aussi été touchés : WebCodecs (CVE-2024-2886), WebAssembly (CVE-2024-2887) ou encore le composant Visuals (CVE-2024-4671).
Certaines de ces failles ont été découvertes lors de compétitions de hacking comme Pwn2Own. D'autres ont malheureusement été repérées, car déjà exploitées par des attaquants.
Mais Google reste proactif. Le géant du web a même lancé un programme de récompenses spécifique, un « bug bounty », pour inciter les chercheurs à trouver des failles dans le moteur V8. Comme quoi, la carotte reste la meilleure des motivations pour avancer.
- Très bonnes performances
- Simple et agréable à utiliser
- Un navigateur bien sécurisé
Source : Bleeping Computer, Google Chrome Releases