Google a révélé qu'une faille de sécurité corrigée dans le cadre d'une mise à jour de sécurité déployée la semaine dernière sur son navigateur Chrome est désormais activement exploitée.
Suivie sous le numéro CVE-2024-7965, la vulnérabilité a été décrite comme un bug d'implémentation inapproprié dans le moteur JavaScript V8 et WebAssembly.
« Une implémentation inappropriée dans V8 dans Google Chrome avant 128.0.6613.84 permettait à un attaquant distant d'exploiter potentiellement la corruption du tas via une page HTML spécialement conçue », selon une description du bug dans la base de données nationale des vulnérabilités du NIST (NVD).
Un chercheur en sécurité connu sous le pseudonyme en ligne TheDog a été crédité de la découverte et du signalement de la faille le 30 juillet 2024, ce qui lui a valu une prime de 11 000 $.
Aucune information supplémentaire sur la nature des attaques exploitant la faille ou sur l'identité des acteurs malveillants susceptibles de l'utiliser n'a été communiquée. Le géant de la technologie a toutefois reconnu être au courant de l'existence d'un exploit pour la faille CVE-2024-7965.
Il a également déclaré que « l'exploitation de la faille CVE-2024-7965 [...] a été signalée après cette publication ». Cela dit, il n'est pas encore clair si la faille a été utilisée comme une faille zero-day avant sa divulgation la semaine dernière. The Hacker News a contacté Google pour obtenir plus d'informations sur la faille, et nous mettrons à jour l'article si nous recevons une réponse. Google a jusqu'à présent résolu neuf failles zero-day dans Chrome depuis le début de l'année 2024, dont trois qui ont été démontrées lors de Pwn2Own 2024
- CVE-2024-0519 - Accès mémoire hors limites dans V8
- CVE-2024-2886 - Utilisation après libération dans WebCodecs (démontré à Pwn2Own 2024)
- CVE-2024-2887 - Confusion de type dans WebAssembly (démontrée à Pwn2Own 2024)
- CVE-2024-3159 - Accès mémoire hors limites dans V8 (démontré à Pwn2Own 2024)
- CVE-2024-4671 - Utilisation après libération dans les visuels
- CVE-2024-4761 - Écriture hors limites dans V8
- CVE-2024-4947 - Confusion de type dans V8
- CVE-2024-5274 - Confusion de type dans V8
- CVE-2024-7971 - Confusion de type dans V8
Il est fortement recommandé aux utilisateurs de mettre à niveau vers la version 128.0.6613.84/.85 de Chrome pour Windows et macOS, et la version 128.0.6613.84 pour Linux afin d'atténuer les menaces potentielles.
Source : The Hacker News
