📣 Alerte : Google Chrome corrige 2 vulnérabilités zero-day

📣 Attention !

Google vient de mettre à jour son navigateur Chrome. Cette mise à jour de sécurité corrige 7 vulnérabilités de sécurité dont 2 zero-day (CVE-2024-2886¹ et CVE-2024-2887² )

Quel est l’impact ?

Exécution de code arbitraire à distance : un attaquant peut exécuter sur votre machine (PC, Mac, iPhone ou Android) le code de son choix. Autant dire qu’il a les clés de votre vie numérique.

Quels logiciels sont touchés ?

Au delà du navigateur Chrome, ces 2 zero-day touchent aussi Microsoft Edge, et sans doute l’ensemble des navigateurs basés sur Chromium (dont Opera).

Comment ces vulnérabilités ont-elles été trouvées ?

Les 2 vulnérabilités zero-day ont été exploitées durant l’événement Pwn2Own de Vancouver, une compétition annuelle au cours de laquelle des chercheurs en sécurité s’affrontent pour tenter de trouver des vulnérabilités logicielles. Et d’ailleurs, les frenchies de Synacktiv y ont encore brillé.

Au fait…

Chromium et ses dérivés n’est pas le seul ciblé. Le navigateur Firefox de la fondation Mozilla a aussi fait les frais (ou bénéficié) de ce Pown2Own de Vancouver. Deux vulnérabilités 0 days ont été corrigées, également disponibles en téléchargement.

Merci de nous avoir lu, c’est important d’agir rapidement.

La cybersécurité passe par chacun d’entre nous, partage !

1  Référence : CVE-2024-2886
Découverte par : Seunghyun Lee
Type : Vulnérabilité de type “utilisation après libération” (en anglais : use after free) dans l’API WebCodecs.
Risque : Exécution du code arbitraire à distance

2  Référence : CVE-2024-2887
Découverte par : Manfred Paul
Type : Vulnérabilité de confusion de type de haute importance dans le standard ouvert WebAssembly (Wasm).
Risque : Exécution du code arbitraire à distance