Google a découvert six failles de sécurité dans Chrome, dont une particulièrement grave. Déjà exploitée par des cybercriminels, elle peut permettre de prendre le contrôle de l’ordinateur avec des instructions truquées envoyées au GPU. Google conseille d’installer une mise à jour d’urgence.
Google indique avoir découvert six vulnérabilités au sein de Chrome. Parmi les brèches identifiées, on trouve surtout une faille de type zero day. Il s’agit d’une faille qui a été exploitée par des cybercriminels avant que Google puisse publier un correctif.
La vulnérabilité est relative à Almost Native Graphics Layer Engine (ANGLE), une bibliothèque logicielle développée par Google. La faille survient lorsque ANGLE, qui est chargé d’aider le navigateur à afficher des images et des animations en utilisant la carte graphique (GPU), ne vérifie pas correctement les instructions reçues.
De facto, des données malveillantes et truquées peuvent passer sans être détectées. Un pirate peut donc envoyer des instructions dangereuses au navigateur, qui peuvent ensuite contourner les protections de Google. Avec ces instructions, l’attaquant peut prendre le contrôle de l’ordinateur. Pour mener une attaque, le pirate doit se servir d’une page HTML piégée, qui cache des instructions pour le GPU.
À lire aussi : 11 extensions Chrome malveillantes ont été téléchargées par 1,7 million d’internautes
Une 5ᵉ faille de Chrome exploitée par les pirates
Selon les chercheurs de Google, des cybercriminels se sont déjà servis de la brèche pour mener des attaques. Débusquée par des chercheurs du Threat Analysis Group (TAG) de Google, la faille n’a pas été détaillée pour des raisons de sécurité.
Le géant de Mountain View indique que « l’accès aux détails des vulnérabilités et aux liens associés peut être limité tant que la majorité des utilisateurs n’ont pas installé le correctif ». Les autres failles peuvent également mener à l’exécution de code arbitrairement sur le navigateur de Google, ouvrant la voie à des cyberattaques.
C’est déjà la cinquième vulnérabilité zero day découverte dans le code de Chrome cette année. Il y a moins de deux semaines, Google annonçait en effet avoir corrigé une quatrième faille zero day en seulement quelques mois.
À lire aussi : Les performances de Google Chrome n’ont jamais été aussi bonnes
Mise à jour d’urgence pour Chrome
Pour corriger le tir, Google a déployé une mise à jour d’urgence du navigateur, estampillée 138.0.7204.157/.158 pour Windows, Mac et 138.0.7204.157 pour Linux. La mise à jour sera déployée « au cours des prochains jours/semaines », explique l’entreprise dans son bulletin de sécurité.
Comme toujours, on vous recommande d’installer la mise à jour de toute urgence. Allez dans À propos de Google Chrome et cliquez sur Relancer pour terminer l’installation. Redémarrez régulièrement Chrome pour avoir les dernières mises à jour. Pour plus de simplicité, activez les mises à jour automatiques.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Blog de Google