Nous sommes au mois de mai et Google a déjà bouché sa cinquième faille zero-day de l’année 2024 au niveau de Chrome. Cela signifie que des hackers l’ont exploitée avant que Google ne soit au courant et propose un correctif.
La nouvelle faille zero-day a pour identifiant CVE-2024-4671. Elle a été découverte et signalée à Google par un chercheur en sécurité qui préfère rester anonyme.
Il s’agit ici d’une vulnérabilité de type « user after free » dans le composant Visuals qui gère le rendu et l’affichage du contenu sur le navigateur. Ce sont des failles de sécurité qui se produisent lorsqu’un programme continue d’utiliser un pointeur après que la mémoire vers laquelle il pointe a été libérée, à l’issue de ses opérations légitimes sur cette région. Étant donné que la mémoire libérée peut désormais contenir d’autres données ou être utilisée par d’autres logiciels ou composants, l’accès à cette mémoire peut entraîner une fuite de données, l’exécution d’un code ou un plantage.
Google a déployé le correctif avec Chrome 124.0.6367.201/.202 sur Windows et Mac, et Chrome 124.0.6367.201 sur Linux. La mise à jour est en cours de déploiement pour les utilisateurs.
Google ne fournit pas encore tous les détails au sujet de la faille, le temps que le correctif soit installé chez l’ensemble des utilisateurs. C’est pour éviter que des hackers en apprennent un peu trop maintenant et exploitent les utilisateurs qui n’ont pas encore installé la mise à jour.
