Google Chrome a eu droit à sa première mise à jour de sécurité de l’année ce mardi. Cette nouvelle version du navigateur corrige une grave faille zero-day activement exploitée par des cybercriminels, alors mettez vite à jour Chrome !
Le 21 décembre, nous vous signalions pour la dernière fois de 2023 le colmatage d’une dangereuse faille zero-day sur Chrome. 2024 est là et rien n’a changé : Google vient d’inaugurer la première correction d’une faille zero-day sur Chrome de l’année. Cette vulnérabilité du navigateur était exploitée par des acteurs de la menace depuis début janvier. La dernière mise à jour de sécurité vient mettre fin à leurs agissements.
Google se montre réactif dans la correction des failles de Chrome
Dans un communiqué diffusé mardi, Google indique avoir “eu connaissance de rapports indiquant qu’un exploit pour CVE-2024-0519 existe dans la nature“. La faille est due à une faiblesse d’accès à la mémoire hors limites du moteur JavaScript Chrome V8, grâce à laquelle les cybercriminels peuvent accéder à des données au-delà de la mémoire tampon. Cela leur permet en bout de course d’accéder à des informations sensibles ou de saboter la machine avec des plantages.
Des mots de MITRE, outre l’accès non autorisé à la mémoire hors limite, “CVE-2024-0519 pourrait également être exploité pour contourner des mécanismes de protection tels que l’ASLR afin de faciliter l’exécution de code par le biais d’une autre faiblesse.”
Google n’en dit pas trop sur les bugs et exploitations constatées dans la nature de cette faille, le temps “qu’une majorité d’utilisateurs soit mise à jour avec un correctif“. L’entreprise ne voudrait pas donner des idées à certains pour attaquer les utilisateurs qui n’ont pas encore reçu la dernière version du navigateur.
Quoiqu’il en soit, Google a corrigé la faille pour les utilisateurs du canal Stable Desktop, c’est-à-dire pour ordinateurs. Belle réactivité de la part de Mountain View : Chrome a ainsi été mis à jour dans le monde entier moins d’une semaine après le signalement de cette faille de sécurité.
Comment mettre à jour Chrome pour se protéger de CVE-2024-0519 ?
Les nouvelles versions disponibles sont :
- Windows : 120.0.6099.224/225
- Mac : 120.0.6099.234
- Linux : 120.0.6099.224
Google indique toutefois que les nouvelles versions pourraient prendre des jours ou des semaines se déployer chez tous les utilisateurs. Selon nos propres vérifications sur Windows, le patch était immédiatement disponible en vérifiant manuellement les mises à jour, à date du 17 janvier.
À lire > Google Chrome ajoute un nouvel avertissement, vous êtes pistés même en navigation privée
Ceux qui ont la flemme de mettre à jour leur navigateur web manuellement peuvent compter sur Chrome pour vérifier automatiquement les mises à jour disponibles et les installer au prochain lancement.
L’année dernière, Google a corrigé pas moins de huit failles zero-day de Chrome exploités dans des attaques, comme CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136, et CVE-2023-2033. À une nouvelle année de failles zero-day !
- Google a déployé mardi son premier patch de sécurité de l’année pour Chrome.
- La dernière version du navigateur permet de parer à la menace de la faille zero-day CVE-2024-0519.
- Cette vulnérabilité activement exploitée permet aux cybercriminels de voler des informations sensibles.