Pour son navigateur Chrome, Google publie une mise à jour qui corrige quatre vulnérabilités de sécurité. Parmi celles-ci, la vulnérabilité CVE-2024-0519 est activement exploitée dans des attaques. Il s'agit de la première vulnérabilité 0-day (exploitation active avant un correctif) de cette année 2024 pour Google Chrome.
La vulnérabilité 0-day affecte le moteur JavaScript V8 de Chrome. Elle a été signalée à Google par un chercheur en sécurité anonyme le 11 janvier dernier. De manière habituelle, Google va attendre un certain niveau de déploiement du correctif avant de communiquer des détails à son propos.
" L'accès aux détails du bug peut être restreint jusqu'à la mise à jour avec le correctif pour une majorité d'utilisateurs. Nous conservons également des restrictions si le bug existe dans une bibliothèque tierce dont dépendent d'autres projets, mais qui n'a pas encore été corrigée ", écrit Google.
Après huit failles 0-day en 2023
Au sujet de la vulnérabilité CVE-2024-0519, la National Vulnerability Database (National Institute of Standards and Technology des États-Unis) indique qu'un accès à la mémoire hors limites dans V8 de Google Chrome permet à un attaquant distant d'exploiter potentiellement une corruption de tas, via une page HTML spécialement conçue.
La mise à jour correctrice de Google Chrome est proposée pour Windows avec la version 120.0.6099.224/225 du navigateur, la version 120.0.6099.234 pour macOS et la version 120.0.6099.224 pour Linux.
En 2023, Google Chrome avait connu un total de huit vulnérabilités de sécurité 0-day. Le compteur est ouvert pour cette année 2024. Quand ce navigateur est à mettre à jour en urgence, cette urgence concerne souvent dans la foulée d'autres navigateurs à base Chromium.