Google a mis à jour son navigateur Chrome pour corriger une vulnérabilité Zero Day de haute gravité qui permet aux attaquants d’exécuter du code malveillant sur les appareils des utilisateurs finaux. Ce correctif marque la cinquième fois cette année que la société met à jour le navigateur pour protéger les utilisateurs contre un exploit malveillant existant.
La vulnérabilité, identifiée comme CVE-2024-4671, est une « utilisation gratuite », une classe de bugs qui se produisent dans les langages de programmation basés sur C. Dans ces langages, les développeurs doivent allouer l’espace mémoire nécessaire à l’exécution de certaines applications ou opérations. Pour ce faire, ils utilisent des « pointeurs » qui stockent les adresses mémoire où résideront les données requises. Cet espace étant limité, les emplacements mémoire doivent être libérés une fois que l’application ou l’opération n’en a plus besoin.
Des bogues d’utilisation après libération se produisent lorsque l’application ou le processus ne parvient pas à effacer le pointeur après avoir libéré l’emplacement mémoire. Dans certains cas, le pointeur vers la mémoire libérée est réutilisé et pointe vers un nouvel emplacement mémoire stockant un shellcode malveillant planté par l’exploit d’un attaquant, condition qui entraînera l’exécution de ce code.
Jeudi, Google a déclaré qu’une source anonyme l’avait informé de la vulnérabilité. La vulnérabilité porte un indice de gravité de 8,8 sur 10. En réponse, Google a annoncé qu’il publierait les versions 124.0.6367.201/.202 pour macOS et Windows et 124.0.6367.201 pour Linux dans les jours suivants.
« Google est conscient qu’un exploit pour CVE-2024-4671 existe dans la nature », a déclaré la société.
Google n’a fourni aucun autre détail sur l’exploit, comme quelles plates-formes étaient ciblées, qui était derrière l’exploit ou pourquoi ils l’utilisaient.
En comptant cette dernière vulnérabilité, Google a corrigé cinq jours zéro dans Chrome jusqu’à présent cette année. Trois des précédents ont été utilisés par les chercheurs dans le cadre du concours d’exploit Pwn-to-Own. Le reste concernait une vulnérabilité pour laquelle un exploit était disponible dans la nature.
Chrome se met automatiquement à jour lorsque de nouvelles versions sont disponibles. Les utilisateurs peuvent forcer la mise à jour ou confirmer qu’ils exécutent la dernière version en accédant à Paramètres > À propos de Chrome, en vérifiant la version et, si nécessaire, en cliquant sur le bouton Relancer.