Les utilisateurs de Chrome sont invités à mettre à jour leurs installations après la découverte d'une faille critique
Google corrige une faille critique de confusion de types dans le navigateur Chrome
Google a publié un correctif Windows et Mac pour un bug critique de Chrome et déploiera un correctif Linux dans les jours et semaines à venir.
Dans un article de blog du 24 avril, Google a déclaré que la faille – CVE-2024-4058 – était une confusion de types dans ANGLE, le moteur de couche graphique de Google Chrome. Le grand fournisseur de technologie n’a pas précisé si la faille avait été exploitée à l’état sauvage, mais des rapports antérieurs de SC Media indiquent que les acteurs malveillants exploitent effectivement les confusions de types dans Google Chrome.
Une confusion de types, également connue sous le nom de manipulation de types, fonctionne comme un vecteur d’attaque qui peut se produire dans des langages interprétés tels que JavaScript et PHP qui utilisent le typage dynamique. Dans le typage dynamique, le type d’une variable est identifié et mis à jour au moment de l’exécution plutôt qu’au moment de la compilation dans un langage de programmation typé statiquement.
Étant donné que Google a attribué une note « critique » à cette faille, il existe un fort potentiel que des attaquants puissent lancer l’exécution de code arbitraire ou des sorties de bac à sable de manière automatisée et avec peu ou pas d’interaction de l’utilisateur.
Google a remercié deux membres de Qrious Secure – Toan (suto) Pham et Bao (zx) Pham – pour avoir signalé la faille critique le 2 avril, en leur attribuant une prime de 16 000 $ pour leurs découvertes.
Sarah Jones, analyste de recherche sur les cybermenaces chez Critical Start, a déclaré que l’obtention d’une note « critique » signifie que le risque de conséquences graves est potentiel. Jones a déclaré que les attaquants pourraient exploiter cette faille à distance, ce qui signifie qu’ils n’auraient pas besoin que les utilisateurs cliquent sur des liens suspects ou téléchargent des fichiers pour y accéder.
« Cela rend la situation particulièrement préoccupante », a déclaré Jones. « Même si les détails techniques restent secrets pour l’instant, une vulnérabilité critique comme celle-ci pourrait potentiellement permettre aux attaquants d’exécuter du code malveillant sur un ordinateur ou de contourner complètement les fonctionnalités de sécurité. Cela pourrait exposer les données des utilisateurs à un risque de vol, ouvrir la porte à l’installation de logiciels malveillants ou même endommager les systèmes des utilisateurs individuels.
John Bambenek, président de Bambenek Consulting, a ajouté que les vulnérabilités du navigateur qui peuvent exploiter les victimes sans interaction (en dehors de les amener à une page d’exploitation) sont les types de problèmes de navigateur les plus graves.
Ces dernières années, Bambenek a déclaré que beaucoup de travail avait été fait pour rendre les navigateurs plus sécurisés.
« Par conséquent, la fréquence de ces problèmes a diminué, mais les utilisateurs doivent immédiatement mettre à jour leurs installations Chrome », a déclaré Bambenek. « Il faut généralement environ 12 à 24 heures aux acteurs malveillants pour élaborer une attaque en procédant à l’ingénierie inverse du correctif. Par conséquent, si l’exploitation n’a pas encore lieu dans la nature, elle le sera demain. »
Google, Chrome, faille, critique, confusion de types, navigateur, correctif, sécurité, exploit, attaque, ANGLE, moteur, graphique, bug, Windows, Mac, Linux, blog, SC Media, JavaScript, PHP, typage dynamique, programmation, code, arbitraire, utilisateur, attaquants, interaction, cybermenaces, recherche, conséquences, vulnérabilité, données, vol, logiciels malveillants, système, navigateurs, exploitation, page, victimes, ingénierie inverse, installations, mise à jour.
Google a publié un correctif pour une faille critique de Chrome, résolvant une confusion de types dans ANGLE, le moteur graphique. Cette vulnérabilité, CVE-2024-4058, pourrait être exploitée par des attaquants pour exécuter du code arbitraire, compromettant ainsi la sécurité des utilisateurs. Les navigateurs devraient être mis à jour immédiatement pour éviter toute exploitation potentielle