Une faille critique dans le code de Chrome a été découverte. La vulnérabilité pourrait laisser un pirate prendre le contrôle d’un ordinateur à distance. Elle est activement utilisée dans le cadre de cyberattaques. C’est pourquoi Google a décidé de lancer une mise à jour d’urgence de son navigateur.
Google tire à nouveau la sonnette d’alarme. Le géant de Mountain View vient de débusquer une nouvelle vulnérabilité dans le code de Chrome. La brèche concerne le moteur JavaScript V8 du navigateur web. Elle permet à un attaquant qui se trouve à distance d’exécuter du code malveillant sur l’ordinateur de la victime.
À lire aussi : Alerte rouge sur Chrome – 100 extensions se font passer pour des services connus, comme YouTube ou Deepseek
Une faille ultra-dangereuse… exploitée dans des attaques
Pour exploiter la faille, l’attaquant doit se servir d’une page HTML piégée. Elle contient du code JavaScript spécialement conçu pour activer le déclenchement de la faille. Le code utilise des fonctions normales de JavaScript afin de provoquer une lecture ou une écriture en dehors de la mémoire autorisée. C’est à ce moment-là que l’attaquant se retrouve en mesure d’injecter du code sur l’ordinateur en prenant le contrôle de Chrome.
Ce sont les chercheurs du Threat Analysis Group de Google qui ont donné l’alerte en date du 27 mai. La dangerosité de la faille est estimée à 8,8/10. Selon les chercheurs de Google, il existe un exploit, c’est-à-dire un moyen d’exploiter la vulnérabilité, en circulation sur la toile. La faille a donc été exploitée par des hackers dans le cadre de cyberattaques. On imagine que la brèche pourrait être utilisée dans le cadre d’attaques de phishing, reposant sur des mails ou des messages piégés.
À lire aussi : Attaque « polymorphique » sur Chrome – des extensions peuvent voler vos mots de passe
Mise à jour d’urgence chez Google
Alerté par ses experts, le géant américain a décidé de déployer une mise à jour d’urgence, en dehors de son calendrier de déploiement habituel. L’entreprise a inclus le correctif dans la mise à jour 137.0.7151.68/.69 pour Windows et macOS. La version pour ordinateurs Linux est estampillée 137.0.7151.68 et sera déployée « au cours des prochains jours/semaines ». La mise à jour corrige à la fois la brèche évoquée ci-dessus, et deux autres dysfonctionnements moins critiques.
On vous recommande évidemment d’installer le correctif dès qu’il est disponible. Allez dans À propos de Google Chrome, puis cliquez sur Relancer pour finaliser l’installation. Pensez par ailleurs à redémarrer Chrome régulièrement pour recevoir les dernières mises à jour et correctifs de sécurité. On vous conseille d’activer les mises à jour automatiques de Chrome. D’autres navigateurs reposant sur le moteur Chromium, comme Edge ou Brave, vont également devoir se mettre à jour pour protéger les internautes. Sans surprise, Google gardera les détails de la faille confidentiels tant que la plupart des utilisateurs n’auront pas installé la mise à jour. Cette précaution doit éviter que des pirates se servent d’informations publiques pour exploiter la brèche.
C’est déjà la deuxième fois de l’année que Google doit agir dans l’urgence pour colmater une faille de Chrome exploitée par des cybercriminels. En mars, l’éditeur avait lancé un correctif pour entraver une vaste opération de cyberespionnage en cours sur Chrome.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Google