Le directeur technique et responsable de la sécurité de Google Chrome, Justin Schuh, a averti que les utilisateurs du navigateur Web le plus populaire devraient se mettre à jour “comme à l’accoutumée”.
ATTAQUE – Pourquoi l’urgence? En termes simples, le groupe d’analyse des menaces de Google a déterminé qu’une vulnérabilité «zéro jour» était activement exploitée à l’état sauvage.
Qu’est-ce que tout cela signifie ? Eh bien, une vulnérabilité est simplement un bogue ou une faille dans le code et, même s’ils doivent tous être corrigés, ils ne peuvent pas tous être exploités. Une vulnérabilité de type «jour zéro» est une vulnérabilité pour laquelle les acteurs de la menace ont réussi à créer un exploit, une manière de faire du mal à votre appareil ou à vos données avant même que les braves gens ne sachent qu’elle existait.
En d’autres termes, ils n’ont aucun jour pour émettre un correctif. La mauvaise nouvelle pour les utilisateurs de Google Chrome est que cette vulnérabilité «jour zéro», CVE-2019-5786, est déjà exploitée par les pirates. C’est pourquoi il est si important de vous assurer que votre navigateur a été mis à jour à la dernière version corrigée qui corrige la vulnérabilité.
Le problème expliqué
Bien que les informations concernant CVE-2019-5786 demeurent rares, Satnam Narang, ingénieur de recherche principal chez Tenable, affirme qu’il s’agit d’une vulnérabilité “Use-After-Free (UAF)” dans FileReader, une interface de programmation d’application (API) incluse dans les navigateurs.
Permettre aux applications Web de lire le contenu des fichiers stockés sur l’ordinateur de l’utilisateur. ” La vulnérabilité ‘use-after-free’ est une faille de corruption de la mémoire qui comporte le risque d’une augmentation des privilèges sur une machine sur laquelle un acteur menaçant a modifié des données en mémoire en les exploitant. C’est pourquoi Google a émis un avertissement de mise à jour urgente, car il existe un potentiel de création d’exploits permettant à un attaquant d’exécuter du code à distance (une attaque d’exécution de code à distance) à distance tout en échappant à la protection intégrée du sandbox du navigateur.
Que faire ensuite
Heureusement, c’est un problème facile à résoudre, assurez-vous de le faire dès que vous avez fini de lire ceci! Tout d’abord, rendez-vous dans le menu déroulant de Chrome (vous le trouverez à l’extrême droite de la barre d’outils – cliquez sur les trois points empilés) et sélectionnez Aide | À propos de Google Chrome. Vous pouvez également taper chrome: // settings / help dans la barre d’adresse si vous préférez, ce qui vous amène à la même boîte de dialogue. Cela vous dira si vous avez la version actuelle ou si une mise à jour est disponible. Pour vous protéger de cet exploit du jour zéro, assurez-vous qu’il indique que vous utilisez la version 72.0.3626.121 (Official Build). Sinon, Chrome devrait aller chercher la dernière version et mettre à jour votre navigateur pour vous automatiquement.
Travis Biehn, stratège technique et responsable de la recherche chez Synopsys, a déclaré: “Google Chrome est l’un des codes C et C ++ les plus robustes au monde, les équipes de sécurité travaillant sur Chrome sont de classe mondiale. Malgré le programme de sécurité de Google, En collaborant avec des chercheurs en sécurité de premier plan via des programmes généreux de primes de bogues, il souffre toujours d’attaques de corruption de la mémoire liées à l’utilisation de C et de C ++. Heureusement pour le public, Chrome est doté d’un mécanisme efficace de mise à jour et de correction (correctif critique). aux utilisateurs finaux en temps réel “.
Source : Forbes
