Quand le chercheur en sécurité de Google Justine Schuh trouve une faille critique dans Chrome et qu’il donne publiquement le conseil de mettre à jour le navigateur « dans la minute qui suit », il vaudrait mieux obtempérer. Car, comme le dit un autre expert en sécurité sur Twitter, « il est a) en position de savoir pourquoi et b) il ne le fait pas souvent ».
If you (or your users) are running Chrome and you're not yet on 72.0.3626.121 … accelerate.
The CVE-2019-5786 details aren't public yet … but if Justin thinks you should prioritize, he's A) in a good position to know why and B) doesn't say this very often. https://t.co/QiMe7ZJCh2
— Royce Williams (@TychoTithonus) March 6, 2019
La faille dont il est question est référencée sous l’identifiant CVE-2019-5786. Elle a été corrigée début mars avec la version Chrome 72.0.3626.121. Une note de blog précise que cette vulnérabilité est logée dans l’interface de programmation FileReader, qui permet la lecture de documents. Mais Google n’a pas donné plus de détails, car – comme il est dit dans l’article – cette faille est exploitée de manière active par des pirates. Compte tenu de la remarque un tantinet anxiogène de la part de Justin Schuh, on peut déduire que ces attaques se multiplient.
Sur Twitter, plusieurs experts bien informés ont néanmoins précisé l’impact potentiel de cette faille. C’est le cas notamment de HD Moore et Chaouki Bekrar qui expliquent qu’elle permet de contourner le bac à sable de Chrome et, par conséquent, d’exécuter du code au niveau du système d’exploitation. Autrement dit, il suffit d’ouvrir un document vérolé sur le web pour se faire pirater son ordinateur. On comprend mieux l’urgence de la situation.
https://twitter.com/hdmoore/status/1103303221739687936
Pour mettre à jour Chrome, il suffit d’aller dans « Aide → A propos de Google Chrome ». Le navigateur va automatiquement vérifier si une mise à jour est disponible et, le cas échéant, l’installer. Pour être protégé, il faut que le numéro de version soit supérieur ou égal à 72.0.3626.121.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
