La dernière mise à jour du navigateur Google Chrome affiche au compteur un peu moins d'une quarantaine de corrections de sécurité. De la routine… ou presque. Cette mise à jour de maintenance est diffusée en urgence pour cause de vulnérabilité 0-day.
La principale faille à combler fait ainsi l'objet d'une exploitation dans des attaques. Elle était active avant la disponibilité du patch. Référencée CVE-2024-7971 et d'un niveau de dangerosité jugé haut (non critique), elle est décrite comme une vulnérabilité de confusion de type dans le moteur JavaScript V8.
" L'accès aux détails et aux liens des bugs peut être restreint jusqu'à ce qu'une majorité d'utilisateurs aient appliqué le correctif. Nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont dépendent d'autres projets, mais qui n'a pas encore été corrigée ", écrit Google.
Un signalement par Microsoft
La National Vulnerability Database (National Institute of Standards and Technology des États-Unis) indique que la vulnérabilité permet à un attaquant distant d'exploiter une corruption de tas via une page HTML spécialement conçue.
La faille a été signalée par Microsoft (Microsoft Threat Intelligence Center et Microsoft Security Response Center). D'autres navigateurs s'appuyant sur un socle Chromium ne tarderont pas à voir aussi apparaître une mise à jour correctrice.
Pour le cas de Google Chrome, la vulnérabilité est corrigée dans le cadre d'une mise à jour Chrome 128.0.6613.84/.85 pour Windows et macOS, et d'une version Chrome 128.0.6613.84 pour Linux.
La marque de 2023 dépassée
La vulnérabilité de sécurité CVE-2024-7971 porte à neuf le nombre de failles 0-day rapportées pour Google Chrome en cette année 2024. D'autres sont susceptibles de venir s'ajouter ultérieurement, sachant qu'il y avait eu huit vulnérabilités 0-day pour Chrome en 2023.
