Google déploie une mise pour son navigateur Chrome sur ordinateur et Android. Elle corrige des vulnérabilités de sécurité, dont une vulnérabilité 0-day référencée CVE-2024-3159 qui affecte le moteur JavaScript V8.
Si généralement une faille 0-day est associée au signalement d’une attaque active, ce n’est pas le cas cette fois-ci. La vulnérabilité CVE-2024-3159 est singulière dans la mesure où elle avait été exploitée lors du concours de hacking Pwn2Own le mois dernier.
Découverte par des chercheurs en sécurité de Palo Alto Networks, la faille a été communiquée de manière responsable à Google qui dispose de plusieurs jours (90 jours) pour procéder à un comblement avant une divulgation publique.
Le mot de l’organisateur du Pwn2Own
» Edouard Bochin et Tao Yan de Palo Alto Networks ont utilisé un OOB Read ainsi qu’une nouvelle technique contre le durcissement de V8 afin d’obtenir une exécution de code arbitraire dans le moteur de rendu. Ils ont réussi à exploiter Chrome et Edge avec les mêmes bugs, ce qui leur a permis de gagner 42 500 dollars « , avait indiqué Zero Day Initiative (Trend Micro).
OOB Read fait allusion à une vulnérabilité de type Out-of-bounds Read (lecture hors limite) permettant de lire des informations sensibles depuis d’autres emplacements de mémoire. Le durcissement (hardening) de V8 se rapporte aux protections mises en œuvre pour le renforcement de la sécurité.
À souligner que la semaine dernière, Google avait déjà corrigé pour Chrome deux autres vulnérabilités 0-day (CVE-2024-2886 et CVE-2024-2887 ; WebCodecs et WebAssembly) également mises au jour lors du concours Pwn2Own organisé à Vancouver.