Les ingénieurs de Google ont publié une mise à jour urgente pour le navigateur Chrome de la société, qui corrige une vulnérabilité du jour zéro activement exploitée.
Dans un article de blog annonçant la mise à jour stable de la version 78.0.3904.87 de Chrome, les ingénieurs ont révélé qu'ils savaient que le jour-zéro était exploité à l'état sauvage et ont remercié les chercheurs en sécurité qui ont attiré leur attention sur ce problème:
«Google a connaissance d'informations selon lesquelles un exploit pour CVE-2019-13720 existe dans la nature. Nous souhaitons également remercier tous les chercheurs en sécurité qui ont travaillé avec nous au cours du cycle de développement afin d’empêcher que des bugs de sécurité n’atteignent le canal stable. ”
Sommaire
Chrome zero-day
La vulnérabilité du jour zéro a été découverte en cours d’exploitation à l’état sauvage par Anton Ivanov et Alexey Kulaev, deux chercheurs en sécurité de Kaspersky.
Le jour zéro lui-même a été décrit comme une vulnérabilité d'usage après le téléchargement dans le composant audio de Chrome. Les vulnérabilités d'utilisation après libération sont des problèmes de corruption de mémoire qui se produisent lorsqu'une application tente de référencer la mémoire qui lui avait été précédemment attribuée mais qui a été libérée ou supprimée.
Généralement, ces types de vulnérabilités provoquent le blocage d’un programme, mais ils peuvent également avoir d’autres conséquences inattendues, comme ce fut le cas avec un autre correctif Google de zéro jour de Google corrigé en mars. Cette vulnérabilité, CVE-2019-5786, était utilisée parallèlement à la version zéro jour de Windows 7, qui avait également été corrigée en avril. Selon Kaspersky, les deux exploits ont été utilisés ensemble par un groupe de pirates informatiques national non nommé.
À l'heure actuelle, il n'est toujours pas clair si ce dernier jour zéro Chrome a été utilisé pour lancer des attaques contre les utilisateurs de Chrome ou s'il fait partie d'une chaîne d'exploit plus complexe exploitant plusieurs vulnérabilités, comme ce fut le cas en mars dernier.
- Consultez également notre liste complète du meilleur logiciel antivirus de 2019
Via ZDNet