Google ne chôme pas côté correctifs. Le géant du Web vient de patcher 4 nouvelles failles de sécurité dans Chrome, portant à 14 le nombre de vulnérabilités zero-day corrigées en 2024.
Décidément, Chrome n’en finit plus de se faire boucher les failles comme un vieux toit de grange après une tempête. À peine le temps de souffler après avoir colmaté sa 10ᵉ faille de l’année que paf ! 4 nouvelles vulnérabilités débarquent.
Cette fois, ce sont encore le moteur JavaScript V8 et d’autres composants qui trinquent. Des chercheurs en sécurité ont découvert des failles permettant potentiellement l’exécution de code malveillant. Rien que ça ! Google n’a pas traîné pour sortir un correctif, mais le mal est peut-être déjà fait. Certaines vulnérabilités étaient activement exploitées avant d’être repérées.
Des failles critiques en cascade pour Chrome
La valse à mille temps des vulnérabilités s’ouvre avec CVE-2024-7970, une écriture hors limites dans le moteur V8. En clair, des hackers peuvent potentiellement exécuter du code arbitraire sur votre machine. Pas vraiment rassurant.
On continue avec CVE-2024-8362, une utilisation après libération dans WebAudio. Ce genre de faille peut mener à des crashs ou, dans le pire des cas, à l’exécution de code malveillant. Google a versé 7 000 dollars de récompense au chercheur qui l’a signalée. Une belle somme qui montre l’importance de la découverte.
Deux autres vulnérabilités de haute gravité ont également été identifiées dans le moteur V8. Il s’agit de problèmes de confusion de type, permettant au navigateur de se tromper sur le type de données qu’il manipule. La porte ouverte à toutes les fenêtres pour les pirates.
Enfin, une dernière faille concerne un dépassement de tampon de tas dans Skia, la bibliothèque graphique utilisée par Chrome. Là encore, les conséquences peuvent aller du simple plantage à l’exécution de code malveillant.
Google sur le qui-vive : mettez Chrome à jour, et vite !
Parce qu’il n’a plus vraiment le choix, tant les failles à boucher sont nombreuses, Google joue la carte de la transparence. Le géant de Mountain View a rapidement déployé des correctifs et encourage fortement les utilisateurs à mettre à jour leur navigateur. Les versions 128.0.6613.119 et 128.0.6613.120 pour Windows et Mac, ainsi que la 128.0.6613.119 pour Linux, intègrent ces correctifs essentiels.
Pour vérifier votre version de Chrome et lancer la mise à jour si nécessaire, direction le menu des trois petits points verticaux en haut à droite, puis :
- Aide > À propos de Google Chrome
Le navigateur recherchera automatiquement les mises à jour disponibles.
Ces nouvelles vulnérabilités s’ajoutent à une liste déjà bien garnie en 2024. Depuis janvier, Chrome a dû faire face à pas moins de 10 failles zero-day. Un record peu enviable qui souligne l’attrait des cybercriminels pour le navigateur. Parmi les précédentes failles, on retrouve notamment des problèmes dans le moteur V8 (CVE-2024-4947, CVE-2024-5274), WebCodecs (CVE-2024-2886), ou encore WebAssembly (CVE-2024-2887).
La multiplication des failles ne signifie pas forcément que Chrome est moins sécurisé qu’avant. Elle témoigne aussi de l’efficacité du programme de bug bounty de Google et de la vigilance accrue des chercheurs en sécurité. Mais cela ne nous exonère pas de la mise à jour régulière de Chrome, comme de tous nos outils.