Dans une démarche proactive de cybersécurité, Google n'a pas tardé à répondre aux défis de sécurité en publiant des mises à jour critiques pour Chrome. Ces mises à jour font suite à l'identification et à l'exploitation d'une vulnérabilité critique Zero Day marquée CVE-2024-0519, un événement important dans le paysage de la sécurité en ligne depuis le début de l'année.
Entreprise un publié une annonce de sécurité mardi, soulignant l'imminence de la menace et la nécessité d'une action rapide. Les mises à jour ont été distribuées sur les canaux Stable Desktop pour Chrome, atteignant les utilisateurs sous Windows (versions 120.0.6099.224/225), Mac (120.0.6099.234) et Linux (120.0.6099.224). Ce déploiement rapide des mises à jour, réalisé moins d'une semaine après le signalement du problème, démontre l'engagement de Google en faveur de la protection de ses utilisateurs.
Selon Google, la mise à jour peut prendre un certain temps pour atteindre tous les utilisateurs, mais j'ai déjà réussi à l'installer, vous devriez donc pouvoir faire de même. De plus, Chrome propose une fonctionnalité de mise à jour automatique, qui permet aux utilisateurs de recevoir les dernières améliorations de sécurité sans avoir besoin d'intervention manuelle.
La vulnérabilité était activement exploitée sur Internet
La vulnérabilité Zero Day (CVE-2024-0519) implique un grave problème d'accès à la mémoire hors limites dans le moteur JavaScript V8 de Chrome. Cette faille de sécurité peut être exploitée par des attaquants pour accéder à des informations sensibles ou provoquer des erreurs système critiques. MITRE, un organisme de normalisation de sécurité, décrit que cette vulnérabilité peut entraîner des erreurs de segmentation ou des débordements de mémoire tampon.
En plus du risque direct, CVE-2024-0519 a le potentiel de contourner les mécanismes de protection tels que ASLR, augmentant ainsi le risque d'exécution de code via d'autres vulnérabilités.
Google, conscient de l'utilisation de cette vulnérabilité dans les attaques, garde plus de détails secrets en attendant une mise à jour pour la plupart des utilisateurs. En outre, la société a corrigé d'autres vulnérabilités dans la V8, notamment l'écriture hors limites (CVE-2024-0517) et la confusion des types (CVE-2024-0518), qui pourraient permettre l'exécution de code arbitraire sur des appareils compromis.
L'année dernière, Google a corrigé huit vulnérabilités zero-day de Chrome ayant un impact significatif sur la communauté en ligne. Certaines de ces vulnérabilités, comme CVE-2023-4762, ont été utilisées à des fins de surveillance de groupes vulnérables, notamment des journalistes et des dissidents, démontrant l'importance continue de la cybersécurité.
