les pirates exploitent une nouvelle faille 0-day

2023 n’a pas été une année particulièrement bonne pour les utilisateurs de Google Chrome, du moins en termes de sécurité. Depuis le début de l’année, le navigateur de Google a été affecté par plusieurs bugs zero-day qui ont obligé Google à publier des correctifs d’urgence afin que les utilisateurs puissent être protégés contre ces problèmes. Alors qu’il semblait que la mauvaise séquence était terminée, un groupe de hackers apparaît, profitant d’un nouveau bug inconnu du jour zéro dans le navigateur. Et Google a été contraint de publier une mise à jour d’urgence à cause de cela.

Les pannes Zero Day sont les plus dangereuses que nous puissions rencontrer à l’heure actuelle. Ce type de vulnérabilité se caractérise par des failles de sécurité. découvert et exploité par des pirates informatiques mais dont Google, ou toute autre entreprise, n’est pas au courant. Cela signifie que si la faille n’est pas découverte, tous les utilisateurs peuvent être exposés à d’éventuelles attaques. Heureusement, ce type d’échec ne dure généralement pas longtemps.

CVE-2023-7024, le bug qui a cassé Chrome

Il y a quelques heures, Google a mis en garde contre le bug CVE-2023-7024, une nouvelle vulnérabilité récemment découverte par ses propres travailleurs et qui, malheureusement, était entre les mains de pirates depuis un certain temps et a été utilisée sur le réseau pour mettre en danger le sécurité des utilisateurs.

💪🏼 Hier, @_clem1 et @vladhiewsha ont découvert et signalé un nouveau ITW 0-day à l’équipe Chrome. AUJOURD’HUI, 1 jour plus tard, Chrome a mis au point un correctif pour protéger les utilisateurs !!! Merci Chrome ! CVE-2023-7024

https://t.co/2tkx0Zc9pf

22 décembre 2023 • 11h34

Cette faille de sécurité est de type « buffer overflow », qui permet de sortir des plages mémoire pour accéder à des données hébergées dans une autre partie de celle-ci, et même de charger du code dans cette mémoire. Les pirates ont déjà eu plusieurs exploits profitant de cette faille de sécurité, alors, pour ne pas compliquer encore plus les choses, Google a décidé ne pas partager les informations de vulnérabilité, au moins pour l’instant. On sait seulement qu’il se trouve au sein du composant WebRTC, et qu’il peut également affecter d’autres navigateurs, comme Edge, Safari, etc.

Mettre à jour le navigateur

Il s’agit de la huitième faille de sécurité Zero Day à être corrigée en 2023, derrière CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023- 2136 et CVE-2023-2033. Si l’on veut éviter d’être victime de ces hackers, il est nécessaire de mettre à jour le plus rapidement possible.

Si nous voulons nous assurer d’être à l’abri de ces attaques informatiques, il est nécessaire de vérifier que la version de Chrome que nous avons installée est la 120.0.6099.129, ou une version ultérieure. Si c’est le cas, nous sommes protégés. Sinon nous sommes en danger.

Nous rappelons que Google Chrome dispose de mises à jour automatiques dans Windows, donc, au départ, nous n’aurions rien à faire pour nous protéger. Mais, au cas où cette nouvelle version ne serait pas téléchargée automatiquement, nous avons deux autres manières de le faire : entrez dans le menu Google Chrome > aide > informations, à partir duquel cette version sera automatiquement téléchargée. Ou téléchargez Chrome depuis le site Web de Google. Après avoir installé la nouvelle version, nous serons protégés contre les pirates. Au moins, jusqu’à ce qu’un nouveau bug zero-day apparaisse.

De plus, nous vous rappelons qu’avant la fin de l’année, Google Chrome 120 activera une série de fonctions et de fonctionnalités cachées qui vous permettront d’utiliser beaucoup plus le navigateur. Entre autres, nous aurons un nouveau centre de contrôle de sécurité, la possibilité de voir la RAM consommée par chaque onglet, et même une nouvelle fonction qui nous permettra de synchroniser des groupes d’onglets avec d’autres navigateurs.