Nouvelles Du Monde

Google signale une dixième faille zero-day sur Chrome comme exploitée cette année

Aujourd’hui, Google a révélé avoir corrigé la dixième faille zero-day exploitée dans la nature en 2024 par des attaquants ou des chercheurs en sécurité lors de concours de piratage.

Suivi comme CVE-2024-7965 et signalée par un chercheur en sécurité connu uniquement sous le nom de TheDog, la vulnérabilité de haute gravité désormais corrigée est décrite comme une implémentation inappropriée dans le moteur JavaScript V8 de Google Chrome qui peut permettre aux attaquants distants d’exploiter la corruption du tas via une page HTML conçue.

Cela a été annoncé dans une mise à jour d’un article de blog où la société a révélé la semaine dernière qu’elle avait corrigé une autre vulnérabilité zero-day de haute gravité (CVE-2024-7971) causée par un V8 confusion de type faiblesse.

« Mis à jour le 26 août 2024 pour refléter l’exploitation dans la nature de CVE-2024-7965 qui a été signalée après cette publication », a déclaré la société dit dans la mise à jour d’aujourd’hui« Google est conscient que des exploits pour CVE-2024-7971 et CVE-2024-7965 existent dans la nature. »

Google a corrigé les deux zero-days dans la version 128.0.6613.84/.85 de Chrome pour les systèmes Windows/macOS et la version 128.0.6613.84 pour les utilisateurs Linux, qui sont déployés pour tous les utilisateurs du canal Stable Desktop depuis mercredi.

Même si Chrome se met automatiquement à jour lorsque des correctifs de sécurité sont disponibles, vous pouvez également accélérer ce processus et appliquer les mises à jour manuellement en accédant au menu Chrome > Aide > À propos de Google Chrome, en laissant la mise à jour se terminer et en cliquant sur le bouton « Relancer » pour l’installer.

Google Chrome 128.0.6613.85

Bien que Google ait confirmé que les vulnérabilités CVE-2024-7971 et CVE-2024-7965 ont été utilisées dans la nature, il n’a pas encore partagé plus d’informations concernant ces attaques.

« L’accès aux détails des bugs et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient informés d’un correctif », indique Google.

« Nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais qui n’a pas encore été corrigé. »

Depuis le début de l’année, Google a corrigé huit autres zero-days signalés comme exploités lors d’attaques ou lors du concours de piratage Pwn2Own :

  • CVE-2024-0519:Une faiblesse d’accès à la mémoire hors limites de haute gravité dans le moteur JavaScript Chrome V8, permettant aux attaquants distants d’exploiter la corruption du tas via une page HTML spécialement conçue, conduisant à un accès non autorisé à des informations sensibles.
  • CVE-2024-2887:Une faille de confusion de type de gravité élevée dans la norme WebAssembly (Wasm). Elle pourrait conduire à des exploits d’exécution de code à distance (RCE) exploitant une page HTML spécialement conçue.
  • CVE-2024-2886:Une vulnérabilité de type « use after free » dans l’API WebCodecs utilisée par les applications Web pour encoder et décoder des fichiers audio et vidéo. Des attaquants distants l’ont exploitée pour effectuer des lectures et des écritures arbitraires via des pages HTML spécialement conçues, ce qui a conduit à l’exécution de code à distance.
  • CVE-2024-3159:Une vulnérabilité de gravité élevée causée par une lecture hors limites dans le moteur JavaScript de Chrome V8. Des attaquants distants ont exploité cette faille en utilisant des pages HTML spécialement conçues pour accéder aux données au-delà de la mémoire tampon allouée, ce qui a entraîné une corruption du tas qui pourrait être exploitée pour extraire des informations sensibles.
  • CVE-2024-4671:Une faille d’utilisation après libération de gravité élevée dans le composant Visuals qui gère le rendu et l’affichage du contenu dans le navigateur.
  • CVE-2024-4761:Un problème d’écriture hors limites dans le moteur JavaScript V8 de Chrome, qui est responsable de l’exécution du code JS dans l’application.
  • CVE-2024-4947: Faiblesse de confusion de type dans le moteur JavaScript Chrome V8 permettant l’exécution de code arbitraire sur l’appareil cible.
  • CVE-2024-5274:Une confusion de type dans le moteur JavaScript V8 de Chrome qui peut entraîner des plantages, une corruption des données ou l’exécution de code arbitraire

2024-08-27 00:58:34
1724712098


#Google #signale #une #dixième #faille #zeroday #sur #Chrome #comme #exploitée #cette #année

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bundesliga Chine Crime Culture dernières nouvelles Des sports Divertissement Divertissement entreprise Football France funny fyp Guerre International Israël journal quotidien la criminalité MLB monde musique Médias NFL NOUS nouvelles politique Pomme Russie Santé santé Science Sciences et technologies Société sport Sports technologie texte pour parler Ukraine vidéo Économie États Unis économie