Google vient de découvrir une nouvelle faille de sécurité dans le code de Chrome. Classée de haute sévérité, la vulnérabilité a été exploitée par des cybercriminels avant que Google ne puisse agir en déployant un correctif. C’est pourquoi Google parle d’une faille de type zero-day. C’est déjà la cinquième faille zero day découverte et corrigée sur Chrome depuis le début de l’année. L’an dernier, Google a corrigé pas moins de huit zero-days exploités dans Chrome, dont plusieurs brèches liées à des campagnes d’espionnage ciblées.
La faille se situe dans V8, le moteur JavaScript intégré à Chrome qui exécute le code des sites web et des applications en ligne. Le moteur V8 de Chrome fait partie des éléments les plus visés par les pirates, car c’est lui qui se charge de faire tourner tout le code JavaScript du navigateur. Or, presque tous les sites web modernes reposent massivement sur du code JavaScript. C’est pourquoi il reste une cible de choix pour les cybercriminels.
À lire aussi : Chrome s’attaque au vol de cookies – comment fonctionne la nouvelle protection de Google ?
Une faille facile à exploiter
La défaillance découle d’un accès mémoire hors limites. Ce type de bug survient lorsqu’un programme lit ou écrit des données en dehors des zones mémoire qui lui sont allouées, ce qui peut provoquer des comportements imprévisibles. En exploitant la brèche, le pirate peut accéder à des données sensibles stockées en mémoire, provoquer le plantage du navigateur, ou même contourner les mécanismes de protection de Google.
Ce qui rend cette faille particulièrement dangereuse, c’est qu’elle est très facile à exploiter. Un attaquant n’a pas besoin d’un accès physique à l’ordinateur de la victime, ni même de la tromper en lui faisant télécharger un fichier malveillant. En fait, il lui suffit de pousser sa victime à visiter une page web spécialement conçue pour exploiter la vulnérabilité. L’utilisateur ne voit rien, et ne clique sur rien de suspect. Le simple chargement de la page malveillante dans le navigateur permet au cybercriminel de mener l’attaque à bien.
Google est resté évasif sur la nature des attaques observées. Comme toujours, l’entreprise préfère ne pas communiquer de détails techniques tant qu’une majorité d’utilisateurs n’a pas installé le correctif. Le chercheur à l’origine de la découverte de la faille a gagné une prime de 55 000 dollars, ce qui témoigne de la gravité du problème.
Installez vite la mise à jour
Pour protéger ses utilisateurs, Google a lancé le déploiement d’une mise à jour contenant un correctif sur Windows, macOS et Linux. La mise à jour est estampillée 149.0.7827.102 pour Windows/ Linux et 149.0.7827.103 pour macOS. Dès que la mise à jour apparaît sur votre navigateur, prenez le temps de l’installer pour éviter les mauvaises surprises. Rendez-vous dans le menu À propos de Google Chrome, cliquez sur Relancer pour terminer l’installation, puis activez sans attendre les mises à jour automatiques afin de rester protégé en permanence. Une fois la mise à jour effectuée, un redémarrage du navigateur est nécessaire pour que le correctif soit appliqué.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
