nouvelle vulnérabilité zéro day dans Google Chrome

Vous devez mettre à jour votre Google Chrome immédiatement vers la dernière version de l’application de navigation sur le Web.

Le chercheur en sécurité  Clement Lecigne  du groupe d’analyse des menaces de Google a découvert et signalé une vulnérabilité de gravité élevée dans Chrome, qui pourrait permettre à des attaquants distants d’exécuter du code arbitraire et de prendre le contrôle intégral des ordinateurs.

La vulnérabilité, affectée  CVE-2019-5786 , affecte le logiciel de navigation Web de tous les principaux systèmes d’exploitation, notamment Microsoft Windows, Apple macOS et Linux.

Sans révéler les détails techniques de la vulnérabilité, l’équipe de sécurité de Chrome indique uniquement qu’il s’agit d’un problème de vulnérabilité liée à l’utilisation après le stockage dans le composant FileReader du navigateur Chrome, qui conduit à des attaques d’exécution de code à distance.

Quoi de plus inquiétant? Google a averti que des vulnérabilités visant à cibler les utilisateurs de Chrome exploitaient activement cette vulnérabilité RCE zéro jour.

FileReader est une API standard conçue pour permettre aux applications Web de lire de manière asynchrone le contenu des fichiers (ou des tampons de données brutes) stockés sur l’ordinateur d’un utilisateur, à l’aide d’objets « Fichier » ou « Blob » pour spécifier le fichier ou les données à lire.

La vulnérabilité use-after-free est une classe de bugs liés à la corruption de la mémoire qui autorise la corruption ou la modification de données en mémoire, permettant ainsi à un utilisateur sans privilège de faire évoluer ses privilèges sur un système ou un logiciel affecté.

La vulnérabilité use-after-free du composant FileReader pourrait permettre à des attaquants non privilégiés d’obtenir des privilèges sur le navigateur Web de Chrome, leur permettant ainsi d’échapper aux protections de sandbox et d’exécuter du code arbitraire sur le système ciblé.

Il semble que cette vulnérabilité soit exploitée. Tout ce qu’un attaquant doit faire est d’inciter les victimes à ouvrir ou à rediriger leurs pages vers une page Web spécialement conçue sans aucune interaction supplémentaire.

Le correctif pour la faille de sécurité a déjà été déployé pour ses utilisateurs dans une mise à jour stable de  Chrome 72.0.3626.121  pour les systèmes d’exploitation Windows, Mac et Linux, que les utilisateurs auront peut-être déjà reçue ou recevront sous peu dans les prochains jours.

Assurez-vous donc que votre système exécute la version mise à jour du navigateur Web Chrome.

Nous mettrons à jour l’article dès que Google publiera les détails techniques de cette vulnérabilité.

Source: https://thehackernews.com/2019/03/update-google-chrome-hack.html