La faille Google Chrome en couple (critique) avec une 0day pour Windows 7

A posteriori (après la diffusion d'une mise à jour correctrice), Google a révélé - sans toutefois entrer dans les détails - que son navigateur Chrome était affecté par une vulnérabilité de sécurité (CVE-2019-5786) exploitée dans des attaques.

De type corruption de mémoire avec un accès après libération, la vulnérabilité concerne FileReader qui permet à des applications web de lire de manière asynchrone les contenus de fichiers stockés en local. Dans sa classification, Google lui confère un degré de dangerosité haut (mais pas critique).

Pour autant, Google dévoile désormais que cette faille a été associée à une 0day affectant Windows pour mener des attaques ciblées. En l'occurrence, une vulnérabilité de type élévation de privilèges en local touchant le pilote en mode noyau win32k.sys.

Cette vulnérabilité actuellement non corrigée ne serait exploitable qu'avec Windows 7, dans la mesure où des solutions d'atténuation ont été ajoutées dans les nouvelles versions de Windows. Google souligne par ailleurs n'avoir observé une exploitation active qu'à l'encontre de Windows 7 en 32 bits.

" La vulnérabilité non corrigée de Windows peut toujours être utilisée pour une élévation de privilèges ou associée avec une autre vulnérabilité d'un navigateur afin de contourner la sécurité sandbox (ndlr : c'est donc critique). Microsoft nous a dit qu'ils travaillent sur un correctif ", écrit Clement Lecigne du Threat Analysis Group de Google.

Il conseille aux utilisateurs de sérieusement penser à l'éventualité d'une mise à niveau vers Windows 10 s'ils ont recours à une ancienne version de Windows. Rappelons que la fin de support pour Windows 7 est pour le 14 janvier 2020.