La dernière mise à jour du navigateur Google Chrome présente un peu moins d’une quarantaine de correctifs de sécurité. De routine… ou presque. Cette mise à jour de maintenance est publiée en urgence en raison de Vulnérabilité 0-day.
La principale faille à combler fait donc l’objet d’une exploitation dans des attaques. Elle était active avant la mise à disposition du patch. Référencée CVE-2024-7971 et avec un niveau de dangerosité jugé élevé (non critique), elle est décrite comme une vulnérabilité de confusion de type dans le Moteur JavaScript V8.
» L’accès aux détails et aux liens des bugs peut être restreint jusqu’à ce qu’une majorité d’utilisateurs aient appliqué le correctif. Nous maintiendrons également des restrictions si le bug existe dans une bibliothèque tierce dont dépendent d’autres projets, mais n’a pas encore été corrigé. « , écrit Google.
Un rapport de Microsoft
La base de données nationale sur les vulnérabilités (National Institute of Standards and Technology) indique que la vulnérabilité permet à un attaquant distant d’exploiter la corruption du tas via une page HTML spécialement conçue.
La faute a été rapporté par Microsoft (Microsoft Threat Intelligence Center et Microsoft Security Response Center). D’autres navigateurs basés sur une base Chromium verront également prochainement apparaître une mise à jour corrective.
Dans le cas de Google Chrome, la vulnérabilité est corrigée dans le cadre de la mise à jour Chrome 128.0.6613.84/.85 pour Windows et macOS, et de la version Chrome 128.0.6613.84 pour Linux.
La barre de 2023 a été dépassée
Vulnérabilité de sécurité CVE-2024-7971 nouvelle porte le nombre de vulnérabilités zero-day signalées pour Google Chrome en 2024. D’autres seront probablement ajoutées plus tard, étant donné qu’il y a eu huit vulnérabilités zero-day pour Chrome en 2023.
