Google vient de corriger en urgence huit nouvelles failles de sécurité dans Chrome. Toutes les vulnérabilités sont liées à des erreurs de gestion de la mémoire qui peuvent ouvrir la porte aux hackers.
Quelques jours après avoir corrigé 26 failles de sécurité avec une mise à jour, Google a découvert huit vulnérabilités supplémentaires dans le code de Chrome. Toutes les failles épinglées sont jugées de gravité élevée. C’est pourquoi Google a décidé de déployer une mise à jour d’urgence pour colmater les brèches.
Exploitées par des cybercriminels, les vulnérabilités peuvent permettre de prendre le contrôle du navigateur, de voler toutes les données qui y sont stockées, ou encore d’installer des logiciels malveillants sur l’ordinateur des victimes. Pour le moment, rien ne laisse entendre que les failles ont pu être exploitées dans le cadre de cyberattaques.
À lire aussi : Une cyberattaque « discrète » vise Chrome – un virus a trouvé le moyen de voler la clé de vos données
Des bugs de mémoire chez Chrome
Parmi les failles, on trouve des erreurs de gestion de la mémoire. Il arrive souvent que Chrome se mette à utiliser une zone de mémoire qu’il a déjà libérée. Ce bug, particulièrement courant au vu des failles recensées par Google, constitue une porte d’entrée de choix pour les cybercriminels. Les failles liées à la mémoire concernent les briques techniques qui gèrent l’affichage graphique, comme Dawn et WebGPU, et la connexion via des comptes externes, tel que FedCM. Un hacker pourrait en profiter pour exécuter du code malveillant sur le navigateur.
Dans les bugs recensés, on trouve aussi des erreurs de traitement, qui poussent Chrome à écrire sur des zones de mémoire qui ne lui sont pas attribuées. Si un pirate fabrique une page web spécialement conçue pour exploiter ce genre de bug, il peut provoquer une corruption de la mémoire du navigateur.
Comme toujours, Google garde volontairement les explications très techniques et les exemples d’attaque sous le coude tant que la plupart des gens n’ont pas installé la mise à jour. Si la faille se trouve aussi dans un composant utilisé aussi par d’autres logiciels, Google limitera les informations publiques un peu plus longtemps, le temps que les autres éditeurs puissent eux aussi corriger le tir.
Pour protéger les utilisateurs, Google a publié une nouvelle version de Chrome, estampillée 146.0.7680.164/165. Celle-ci est actuellement en cours de déploiement. Google recommande d’installer la mise à jour dès que possible sur votre navigateur. Dès qu’elle s’affiche, ouvrez le menu « À propos de Google Chrome », laissez le navigateur récupérer les correctifs, puis cliquez sur « Relancer » pour terminer l’installation.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.