Google vient de colmater en urgence trois failles critiques dans Chrome. Les vulnérabilités permettaient de lire ou modifier la mémoire du navigateur via de simples pages web piégées. Le géant américain déploie une mise à jour pour corriger le tir.
Google a débusqué trois nouvelles vulnérabilités critiques dans le code de Chrome. Les trois failles sont considérées comme graves par les équipes de sécurité de Google. L’entreprise américaine estime donc que les brèches peuvent facilement être exploitées par des cybercriminels. C’est pourquoi le géant de Mountain View a déployé un correctif de toute urgence sur le navigateur.
À lire aussi : 300 000 utilisateurs Chrome ont été piégés par 30 fausses extensions IA
Des bugs qui mettent en danger Chrome
La première vulnérabilité épinglée par Google concerne le composant Media de Google Chrome, la partie qui gère la lecture des fichiers audio et vidéo sur le navigateur. Une fois exploitée, la faille peut aboutir à un bug de lecture mémoire. En clair, le navigateur va accéder à des données auxquelles il n’est pas censé toucher.
Concrètement, un flux média spécialement conçu par des hackers va être chargé dans Chrome. Il peut alors amener le navigateur à lire des données imprévues. C’est une faille qui est redoutable si elle est combinée avec d’autres vulnérabilités. La faille peut aboutir à de l’exfiltration de données ou à de la collecte d’informations sur la mémoire de Chrome.
La seconde vulnérabilité se situe dans Tint, un compilateur qui va transformer le code graphique des pages web en une forme que la carte graphique peut exécuter en toute sécurité. La brèche permet à du code graphique exécuté sur le GPU de provoquer des accès mémoire hors de la zone prévue, en lecture mais aussi en écriture. Avec du code malveillant dissimulé sur une page web, un pirate peut altérer la mémoire du processus de rendu du navigateur, ce qui peut servir de tremplin à une prise de contrôle plus complète de Chrome.
Enfin, la troisième vulnérabilité se trouve dans Chrome DevTools, la boîte à outils pour les développeurs qui est intégrée au navigateur. Le problème vient de la façon dont certaines fonctions de DevTools ont été implémentées par Google. Pour exploiter la faille, il suffit que le pirate attire sa cible sur une page web malveillante qui va le pousser à interagir avec DevTools. L’attaquant peut in fine parvenir à voler des données et à contourner certaines limites de sécurité.
Comme toujours, Google indique restreindre la quantité d’informations relatives aux vulnérabilités pour le moment, afin d’éviter que celles-ci soient exploitées par des pirates. L’entreprise communiquera plus d’informations techniques lorsque la plupart des internautes auront installé le correctif sur leur appareil.
À lire aussi : Chrome n’arrête pas de planter ? Une extension malveillante est peut-être en train de vous pirater
Installez vite la mise à jour de Chrome
Google vient d’inclure un correctif dans les nouvelles versions de Chrome sur Windows et macOS (145.0.7632.116/117) et Linux (144.0.7559.116). Le déploiement complet est prévu sur plusieurs jours ou semaines.Dès que la mise à jour Chrome apparaît, appliquez-la sans attendre. Pour cela, ouvrez le menu À propos de Google Chrome, puis cliquez sur Relancer afin de terminer l’installation. Activez aussi les mises à jour automatiques pour bénéficier en continu des derniers correctifs de sécurité et limiter les risques de cyberattaques.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.