Ça ne s’arrête plus pour le géant américain Google avec son navigateur Chrome qui subit la CVE-2024-4947, une vulnérabilité de type zero-day. C’est la troisième en quelques jours et qui suit celle dont nous vous parlions avant-hier : la CVE-2024-4761.
CVE-2024-4947 : ce qu’il faut savoir
Cette faille concerne la confusion de type dans le moteur JavaScript et WebAssembly V8. Contrairement aux vulnérabilités précédentes, celle-ci n’est pas anonyme, mais signalée par Vasily Berdnikov (@vaber_b) et Boris Larin (@oct0xor) de Kaspersky le 13 mai 2024.
La criticité de cette vulnérabilité a été classée comme élevée et Google est conscient qu’un exploit existe déjà dans la nature. Comme à son habitude, l’entreprise ne dévoile pas plus de détails pour éviter d’aggraver la situation et recommande d’appliquer le correctif.
Correctif et mise à jour
Le 15 mai 2024, l’équipe de Chrome a annoncé avec la disponibilité de Chrome 125 en version stable (aka canal Stable) pour Windows, Mac et Linux. Cette nouvelle version, 125.0.6422.60 pour Linux et 125.0.6422.60/.61 pour Windows et Mac, sera déployée progressivement au cours des prochains jours et semaines.
Nous étions en 124, il est temps de passer à la version 125 qui apporte de nombreuses corrections et améliorations, dont une liste détaillée est disponible dans le changelog et bien sûr la CVE-2024-4947.
Si vous ne voulez pas attendre la mise à jour automatique, vous pouvez par ailleurs la forcer en vous rendant dans Paramètres puis À propos de Chrome.
Pour nous rassurer, on apprend que de nombreux bugs de sécurité sont détectés à l’aide d’outils spécialisés tels que AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer ou AFL.
Ces outils permettent de renforcer la sécurité et la stabilité du navigateur en identifiant et en corrigeant les vulnérabilités avant qu’elles ne puissent être exploitées.
CVE corrigées par la mise à jour
- CVE-2024-4947 : Confusion de type dans le moteur JavaScript V8.
- CVE-2024-4948 : Use after free dans Dawn.
- CVE-2024-4949 : Use after free dans le moteur JavaScript V8.
- CVE-2024-4950 : Mauvaise implémentation dans les téléchargements.
Laisser un commentaire