Nouvelle vulnérabilité Zero-Day trouvée dans Google Chrome

Qui suis-je
Valery Aloyants
@valeryaloyants

Nouvelle vulnérabilité Zero-Day trouvée dans Google Chrome

Le mois dernier, le chercheur Clément Lecigne, en charge de détecter les nouvelles menaces contre Google, a découvert et signalé une vulnérabilité particulièrement dangereuse qui pourrait, apparemment, permettre à des attaquants d'effectuer cyber-attaques à distance en exécutant, de manière tout à fait arbitraire, le code, et par conséquent en prenant le contrôle complet du système.



La vulnérabilité découverte dans Google Chrome : qu'est-ce que c'est et comment ça marche

La vulnérabilité en question, qui a reçu son nom CVE-2019-5786, cible le navigateur populaire sur tous les principaux systèmes d'exploitation, y compris Microsoft Windows, Apple macOS et Linux. Apparemment, ce serait une vulnérabilité de type utilisation-après-libre présent dans le composant FileReader de Chrome, mais il y a plus : Google lui-même a averti que la vulnérabilité RCE du jour zéro serait déjà utilisée activement par certains attaquants qui visent directement des utilisateurs individuels.

"L'accès aux détails et aux divers liens du bug sera restreint jusqu'à ce que la majorité des utilisateurs aient mis à jour le navigateur avec les correctifs nécessaires", note l'équipe de sécurité de Chrome, "nous adopterons d'autres restrictions sur la bibliothèque tierce sur laquelle ils dépendent des projets similaires qui n'ont pas encore été fixés. "

Par exemple, Lecteur de fichiers est une API standard spécialement conçue pour permettre aux applications Web de lire le contenu des fichiers (ou des données brutes) stockés sur l'ordinateur de l'utilisateur, en utilisant « Fichier » ou « Blob » pour spécifier les fichiers ou les données à lire.

La vulnérabilité de type utilisation-après-libre appartient à une classe de bug corruption qui permettent à des personnes malintentionnées de modifier les données en mémoire, ainsi que d'accéder au système, voire au logiciel, de manière progressive.



La vulnérabilité use-after-free présente dans le composant Lecteur de fichiers En fait, Google Chrome accorde aux cybercriminels un accès privilégié à Chrome, leur permettant de contourner les systèmes de sécurité et d'accéder directement au système.

Tout ce qu'un pirate informatique a à faire pour exploiter cette vulnérabilité particulière de Google Chrome, c'est tromper les victimes inconscients, les incitant à s'ouvrir ou les redirigeant vers un site Web qui ne nécessite aucun type d'interaction.


Vulnérabilité Chrome : Google a déjà le remède

Il s'agit donc d'une vulnérabilité insidieuse, qui peut potentiellement affecter n'importe quel système d'exploitation. Cependant, Google ne regarde pas, il a donc déjà sorti le patch à proposer à ses utilisateurs, avec la mise à jour Chrome 72.0.3626.121 pour Windows, Mac et Linux : il devrait arriver dans les prochains jours, mais certains l'ont déjà eu .


Andrea Mori

Swascan Manager Marketing

Nouvelle vulnérabilité Zero-Day trouvée dans Google Chrome

Audio Video Nouvelle vulnérabilité Zero-Day trouvée dans Google Chrome
ajouter un commentaire de Nouvelle vulnérabilité Zero-Day trouvée dans Google Chrome
Commentaire envoyé avec succès ! Nous l'examinerons dans les prochaines heures.