7 failles de sécurité corrigées dans Google Chrome, dont 2 zero-day

Google a publié une nouvelle version de son navigateur Chrome. La nouvelle mise à jour corrige sept failles de sécurité, dont deux zero day.

Le 26 mars, la firme de Mountain View a mis à jour Chrome qui passe en version 123.0.6312.86 sur Windows et Linus, et en version 123.0.6312.87 sur macOS. Lors du Pwn2Own de Vancouver 2024, deux failles de sécurité zero day ont été détectées parmi sept vulnérabilités. Corrigées grâce à la nouvelle mise à jour, elles ne risquent plus d’affecter votre navigateur. On vous conseille alors de mettre à jour Google Chrome sans plus attendre !

Google Chrome : une nouvelle mise à jour

Le Pwn2Own est un événement très populaire dans l’univers informatique. Chaque année, les chercheurs en sécurité du monde se réunissent pour s’affronter et tenter de trouver une brèche logicielle. Cette année, ce rendez-vous les a conduits à exploiter deux failles zero day qui, aujourd’hui, ne représentent plus un problème.

En effet, après la mise à jour de son navigateur, Google a mis en ligne plusieurs versions pour protéger ses utilisateurs. Ces derniers peuvent désormais passer par la case maintenance et profiter de cette protection.

Deux brèches qui affectaient Chrome et Edge

Manfred Paul, de l’équipe Trend Micro Zero Day Initiative, est celui qui a découvert la première brèche présente dans le composant WebAssembly. Liée à la référence CVE-2024-2887, elle représente une faille de confusion d’une grande importance. Les développeurs l’utilisent pour rassembler le code source de leur site web. Évidemment, ils le compilent dans un format plus optimisé pour le navigateur web. D’ailleurs, ce dernier présente de meilleures performances. Si les hackers exploitaient cette brèche, elle leur permettrait d’exécuter du code sur la machine ciblée sans souci.

La deuxième brèche, associée à la référence CVE-2024-2886, est de type « utilisation après libération ». C’est Seunghyun Lee, un chercheur en sécurité officiant au KAIST Hacking Lab’s, qui a réussi à la détecter. Dans l’API WebCodecs, les sites web l’utilisent pour décoder et encoder les audios et vidéos. Si, par malheur, cette faille zero était exploitée, elle permettrait aux hackers d’exécuter du code arbitraire à distance.

Firefox, une autre victime des failles zero day

Hormis Edge et Chrome, Mozilla Firefox a également présenté ces deux failles lors du célèbre événement Pwn2Own. Heureusement, la Fondation Mozilla a réussi à prendre le problème d’assaut et l’a réglé sans souci.

Dès le lendemain de la découverte, le navigateur a été mis à jour pour corriger ces deux brèches de sécurité zero day. En effet, il met à la disposition des utilisateurs une version Firefox 124.0.1. Celle-ci comprend des correctifs de sécurité adéquats qui promettent une utilisation moins risquée sur le célèbre navigateur de Mozilla Fondation.

Pour conclure, le grand gagnant cette édition de cet événement annuel n’est autre que Manfred Paul, qui a réussi à détecter plusieurs failles dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge. Une prouesse dignement récompensée. Pour ne faire face à aucun désagrément, n’hésitez pas à mettre à jour vos navigateurs sans plus attendre !