Pour Google Chrome, et plus globalement les navigateurs web à base Chromium (Microsoft Edge et autres), une vulnérabilité référencée CVE-2024-10487 fait l’objet d’une correction. Si ce n’est pas une vulnérabilité 0-day (exploitation active dans des attaques avant la disponibilité d’un patch), elle reste notable puisqu’elle est critique et que son signalement est attribué à Apple.
La faille CVE-2024-10487 a été découverte par l’équipe SEAR (Security Engineering and Architecture) d’Apple. Cette équipe est en charge de la sécurité de bout en bout de tous les produits Apple, dont récemment la technologie Private Cloud Compute avec Apple Intelligence.
Les vulnérabilités jugées réellement critiques ne sont pas légion pour Google Chrome (hors concours de hacking). En outre, il est plus fréquent pour des hackers de Google – notamment Google Project Zero – de signaler des failles dans des produits Apple, que le contraire.
Une vulnérabilité critique encore mystérieuse pour Chrome
Pour le moment, les informations au sujet de la vulnérabilité critique CVE-2024-10487 sont peu détaillées. Il s’agit d’une vulnérabilité de type out of bounds write affectant Dawn qui est une implémentation open source de WebGPU dans Chrome. Une telle API permet aux développeurs d’utiliser les capacités du GPU pour le Web.
Ce type de faille se produit quand un programme écrit en dehors de la mémoire allouée. Elle peut être à l’origine d’un plantage ou d’une exécution de code arbitraire. Si elle est critique… c’est probablement qu’une exécution de code est en jeu.
Du côté de Google Chrome, les versions non vulnérables sont à partir de 130.0.6723.91/.92 pour Windows et macOS, 130.0.6723.91 pour Linux. La vulnérabilité avait été signalée le 23 octobre par Apple et le correctif a été diffusé un peu moins d’une semaine plus tard.