Triste record pour le navigateur qui vient de colmater une énième brèche dans son moteur d’exécution JavaScript V8. Si ça n’est pas déjà fait, mettez Google Chrome à jour.
Cette année, la récurrence des failles zero-day chez Chrome est telle qu’elle pourrait prêter à sourire. Google continue donc son marathon des patchs en urgence avec le déploiement d’un correctif pour sa dixième vulnérabilité critique en neuf mois. Découverte par un chercheur de sécurité répondant au pseudonyme de TheDog, la brèche porte le matricule CVE-2024-7965 et est actuellement exploitée par les hackers. Un scénario qui laisse un très clair goût de déjà-vu puisque c’est à nouveau le moteur d’exécution V8 de Chrome qui est concerné, déjà impacté par une faille zero-day jusqu’à la semaine dernière.
Le moteur JavaScript V8 à nouveau mis en cause
V8 avait déjà été confus, il est maintenant implanté de manière inappropriée. Le résultat est le même : une brèche de sécurité jugée alarmante par Google qui, quelques jours seulement après avoir patché sa neuvième faille zero-day de l’année, en corrige une dixième.
Répertoriée par le site web de la Base de données nationale des vulnérabilités du NIST, celle qui porte désormais le numéro de suivi CVE-2024-7965 découle d’une mauvaise implémentation du moteur d’exécution JavaScript V8 dans Chrome. En résulte un bug dans le compilateur JiT (just-in-time) permettant à d’éventuels cyberattaquants d’exploiter une corruption de tas (corruption d’une partie de la mémoire de l’emplacement où un programme conserve l’ensemble de ses données) depuis une page HTML spécialement conçue pour mener ces attaques.
Une faille dont Google avait connaissance depuis quelques semaines déjà
L’heure n’est d’ailleurs plus aux éventualités puisque Google a confirmé que la vulnérabilité était belle et bien activement exploitée au moment de la sortie de son patch. Le correctif pour CVE-2024-7965 est intégré à l’update 128.0.6613.85 de Chrome que nous vous recommandons de mettre à jour dans les plus brefs délais.
Si Google nous avait précédemment surpris à dégainer plus vite que son ombre jusqu’ici, il lui aura cette fois-ci fallu près d’un mois pour colmater cette brèche que le chercheur TheDog avait reportée le 30 juillet dernier. Un laps de temps qui justifie que la faille ait été exploitée de manière active au moins depuis cette date, Google n’ayant pas fourni davantage de détails sur ce sujet.
Dans la mesure où V8 est une composante de Chromium, base de développement sur laquelle s’appuie de nombreux autres navigateurs comme Microsoft Edge ou Brave, il est fort probable que ces derniers bénéficient, eux aussi, de mises à jour correctives dans les jours à venir.
- settingsMoteur de rendu : Chromium
- extensionExtensions disponibles
- groupCible : généraliste
- center_focus_strongParticularité : pour les adeptes de Google
- devicesPlateformes : bureau & mobile
Complet et fluide, Google Chrome s’impose comme une référence gratuite des navigateurs web et se place en excellente position face à d’autres applications phares comme Mozilla Firefox et Microsoft Edge (ex-Internet Explorer). Pour compléter sa version Windows, Mac et Linux pour ordinateur, la firme californienne propose également une version mobile compatible avec Android et iOS.
- Très bonnes performances
- Simple et agréable à utiliser
- Un navigateur bien sécurisé
- Politique de confidentialité catastrophique
- Gestion de l'autoplay à revoir
