Google a demandé au navigateur Chrome de corriger un exploit de vulnérabilité Zero Day qui a été utilisé par les acteurs malveillants. C’est la cinquième fois cette année que l’entreprise doit publier un correctif pour l’une de ces vulnérabilités, .
« Google est conscient qu’un exploit pour CVE-2024-4671 existe dans la nature », a indiqué la société dans un bref avis. Il n’a donné aucun détail sur la nature de l’attaque réelle ni sur l’identité des acteurs de la menace. C’est courant pour Google, car il aime attendre qu’une majorité d’utilisateurs aient mis à jour le logiciel avant d’annoncer des détails spécifiques.
Nous savons certaines choses sur l’exploit. Il est classé comme « problème de haute gravité » et comme vulnérabilité « utilisateur après libération ». Ces bogues surviennent lorsqu’un programme fait référence à un emplacement mémoire après sa désallocation, entraînant de nombreuses conséquences graves allant d’un crash à une exécution aléatoire du code. Il semble que la vulnérabilité CVE-2024-4671 soit attachée au composant visuel qui gère le rendu et l’affichage du contenu sur le navigateur.
L’exploit a été découvert et signalé à Google par un chercheur anonyme. Le correctif est disponible pour Mac, Windows et Linux et les mises à jour continueront d’être déployées auprès des utilisateurs au cours des prochains jours et semaines. Chrome se met automatiquement à jour avec les correctifs de sécurité, afin que les utilisateurs puissent confirmer qu’ils exécutent la dernière version du navigateur en accédant à Paramètres et À propos de Chrome. Les utilisateurs de navigateurs basés sur Chromium comme Microsoft Edge, Brave, Opera et Vivaldi doivent également mettre à jour vers une nouvelle version dès qu’elle est disponible.
Comme indiqué, il s’agit de la cinquième faille de ce type corrigée par Google cette année. Je ne veux pas dire « au cours de la dernière année civile ». Je veux dire en 2024. Trois ont été découverts en mars lors du concours de piratage Pwn2Own à Vancouver. Ce n’est pas un disque ou quoi que ce soit. Google a trouvé et corrigé en 2020.
Les exploits du jour zéro sont une épine constante dans le pied de Google. Il s’agit d’un type de cyberattaque qui profite d’une faille de sécurité inconnue ou non corrigée dans un logiciel, un matériel ou un micrologiciel informatique. L’entreprise débourse généralement beaucoup d’argent pour la découverte de bogues, dans le cadre de son programme .