Safecode

CVE-2024-4947

CVE-2024-4947 : nouvelle vulnérabilité zero-day dans Chrome

/

Thibault Feugere

Ça ne s’arrête plus pour le géant américain Google avec son navigateur Chrome qui subit la CVE-2024-4947, une vulnérabilité de type zero-day. C’est la troisième en quelques jours et qui suit celle dont nous vous parlions avant-hier : la CVE-2024-4761.

CVE-2024-4947 : ce qu’il faut savoir

Cette faille concerne la confusion de type dans le moteur JavaScript et WebAssembly V8. Contrairement aux vulnérabilités précédentes, celle-ci n’est pas anonyme, mais signalée par Vasily Berdnikov (@vaber_b) et Boris Larin (@oct0xor) de Kaspersky le 13 mai 2024.

La criticité de cette vulnérabilité a été classée comme élevée et Google est conscient qu’un exploit existe déjà dans la nature. Comme à son habitude, l’entreprise ne dévoile pas plus de détails pour éviter d’aggraver la situation et recommande d’appliquer le correctif.

Correctif et mise à jour

Le 15 mai 2024, l’équipe de Chrome a annoncé avec la disponibilité de Chrome 125 en version stable (aka canal Stable) pour Windows, Mac et Linux. Cette nouvelle version, 125.0.6422.60 pour Linux et 125.0.6422.60/.61 pour Windows et Mac, sera déployée progressivement au cours des prochains jours et semaines.

Nous étions en 124, il est temps de passer à la version 125 qui apporte de nombreuses corrections et améliorations, dont une liste détaillée est disponible dans le changelog et bien sûr la CVE-2024-4947.

Si vous ne voulez pas attendre la mise à jour automatique, vous pouvez par ailleurs la forcer en vous rendant dans Paramètres puis À propos de Chrome.

CVE-2024-4947

Pour nous rassurer, on apprend que de nombreux bugs de sécurité sont détectés à l’aide d’outils spécialisés tels que AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer ou AFL.

Ces outils permettent de renforcer la sécurité et la stabilité du navigateur en identifiant et en corrigeant les vulnérabilités avant qu’elles ne puissent être exploitées.

CVE corrigées par la mise à jour

  • CVE-2024-4947 : Confusion de type dans le moteur JavaScript V8.
  • CVE-2024-4948 : Use after free dans Dawn.
  • CVE-2024-4949 : Use after free dans le moteur JavaScript V8.
  • CVE-2024-4950 : Mauvaise implémentation dans les téléchargements.

Étiquettes :

, , , , , ,

Thibault Feugere

Passionné par la sécurité informatique, je possède une expérience dans le secteur médical (logiciels de santé et dispositifs médicaux) ainsi que le secteur bancaire. J’occupe différents rôles : consultant en cybersécurité, formateur cyber, et rédacteur pour Safecode.fr, où je partage des connaissances et découvertes en matière de sécurité des systèmes d’information (SSI). J’adore partager mes connaissances, c’est la raison pour laquelle, depuis 2020, j’écris des articles sur le blog Safecode.fr pour partager mes trouvailles ou conseils avec tous.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *