Safecode

CVE-2024-4761

CVE-2024-4761 : nouvelle vulnérabilité zero-day dans Chrome

/

Thibault Feugere

En ce mardi 14 mai, Google vient de publier de nouveaux correctifs en urgence pour traiter une faille 0-day de sévérité élevée et référencée sous la CVE-2024-4761. Google annonce également que la vulnérabilité est activement exploitée.

Bug d’écriture Out-of-bond dans le moteur V8

La vulnérabilité a été signalée anonymement le 9 mai 2024 et aucun autre détail n’a été dévoilé. Elle affecte le moteur V8 Javascript et WebAssembly.

Ce type de bug peut permettre différentes actions : écriture dans des zones mémoire hors zones prévues, corruption de données ou encore de l’exécution de code arbitraire. La CVE a un score CVSS v3 Base de 8.8/10.

Google informe être au courant qu’un exploit est disponible dans la nature, raison de plus d’appliquer les correctifs.

L’entreprise nous indique ne pas vouloir partager d’informations supplémentaires concernant l’attaque afin de ne pas accroître son ampleur.

Se protéger de la CVE-2024-4761

Il suffit de faire la mise à jour de Chrome pour passer à la version 124.0.6367.207/.208 pour Mac et Windows et à la version 124.0.6367.207 pour les distributions basées sur Linux.

Cette mise à jour va être déployée progressivement au cours des prochains jours ou semaines. La liste complète des modifications apportées par cette version est disponible dans le journal des modifications.

Si vous ne voulez pas attendre la mise à jour automatique, vous pouvez par ailleurs la forcer en vous rendant dans Paramètres puis À propos de Chrome.

mise à jour chrome CVE-2024-4761

Il suffira ensuite de relancer Chrome pour appliquer le correctif.

Google enchaine les CVE

L’année 2024 est compliquée pour le géant américain qui enchaine les CVE avec ces « pentesters anonymes » impactant Chrome :

  • CVE-2024-0519 : cvss 8.8 : L’accès à des zones mémoire hors plages prévues dans la version V8 de Google Chrome antérieure à 120.0.6099.224 permettait à un attaquant distant d’exploiter potentiellement la corruption du tas via une page HTML contrefaite.
  • CVE-2024-2886 : 8.8 : vulnérabilité de type “use-after-free” dans l’API WebCodecs, utilisée par les applications web pour encoder et décoder de l’audio et de la vidéo.

Et d’autres :

  • CVE-2024-2887
  • CVE-2024-3159

Étiquettes :

, , , ,

Thibault Feugere

Passionné par la sécurité informatique, je possède une expérience dans le secteur médical (logiciels de santé et dispositifs médicaux) ainsi que le secteur bancaire. J’occupe différents rôles : consultant en cybersécurité, formateur cyber, et rédacteur pour Safecode.fr, où je partage des connaissances et découvertes en matière de sécurité des systèmes d’information (SSI). J’adore partager mes connaissances, c’est la raison pour laquelle, depuis 2020, j’écris des articles sur le blog Safecode.fr pour partager mes trouvailles ou conseils avec tous.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *