Chrome : Google corrige sa deuxième 0day exploitée de l'année

La dernière mise à jour de Google Chrome (78.0.3904.87) corrige deux vulnérabilités de sécurité de type use-after-free. Avec ce type de vulnérabilité, le référencement de la mémoire après sa libération peut provoquer le plantage d'un programme, l'utilisation de valeurs inattendues ou l'exécution de code.

Une vulnérabilité CVE-2019-13721 affecte PDFium qui est le moteur de rendu PDF utilisé dans le navigateur. Une autre vulnérabilité CVE-2019-13720 affecte la partie audio dans Google Chrome.

Découverte par des chercheurs en sécurité de Kaspersky Lab, la vulnérabilité CVE-2019-13720 a fait l'objet d'une exploitation dans des attaques actives alors qu'il n'y avait pas de correctif disponible. Selon ces chercheurs, un portail d'actualités en langue coréenne a été compromis pour le déploiement de l'exploit 0-day via l'injection d'un code JavaScript malveillant.

En vertu d'une politique de divulgation responsable, les chercheurs en sécurité de Kaspersky Lab ne donnent que quelques détails. Ils décrivent néanmoins des cas d'exécution de code à distance avec pour point d'orgue une charge utile téléchargée sous la forme d'un fichier binaire chiffré (worst.jpg) qui est déchiffré par le shellcode.

" Après déchiffrement, le module malware est déposé en tant que updata.exe sur le disque et exécuté. Pour la persistance, le malware installe des tâches dans le planificateur de tâches de Windows. L'installateur de la charge utile est une archive RAR en SFX (ndlr : archive auto-extractible) ", peut-on lire dans un billet de blog sur Securelist (Kaspersky Lab).

Baptisée " Operation WizardOpium ", la cyberattaque n'a pas été attribuée à un groupe particulier pour le moment. C'est la deuxième fois cette année que Google corrige pour Chrome une 0day exploitée dans des attaques après la vulnérabilité CVE-2019-5786 qui était associée à une vulnérabilité pour Windows 7 (32 bits).

À noter que Google n'attribue pas un niveau critique mais élevé.