Passer au contenu

Chrome : des pirates exploitent de manière active une faille critique

Un bug dans le module FileReader du navigateur Chrome permet de contourner le bac à sable et exécuter du code au niveau du système d’exploitation. Il faut immédiatement patcher le logiciel.

Quand le chercheur en sécurité de Google Justine Schuh trouve une faille critique dans Chrome et qu’il donne publiquement le conseil de mettre à jour le navigateur « dans la minute qui suit », il vaudrait mieux obtempérer. Car, comme le dit un autre expert en sécurité sur Twitter, « il est a) en position de savoir pourquoi et b) il ne le fait pas souvent ».

https://twitter.com/TychoTithonus/status/1103087915129757696

La faille dont il est question est référencée sous l’identifiant CVE-2019-5786. Elle a été corrigée début mars avec la version Chrome 72.0.3626.121. Une note de blog précise que cette vulnérabilité est logée dans l’interface de programmation FileReader, qui permet la lecture de documents. Mais Google n’a pas donné plus de détails, car – comme il est dit dans l’article – cette faille est exploitée de manière active par des pirates. Compte tenu de la remarque un tantinet anxiogène de la part de Justin Schuh, on peut déduire que ces attaques se multiplient.

Sur Twitter, plusieurs experts bien informés ont néanmoins précisé l’impact potentiel de cette faille. C’est le cas notamment de HD Moore et Chaouki Bekrar qui expliquent qu’elle permet de contourner le bac à sable de Chrome et, par conséquent, d’exécuter du code au niveau du système d’exploitation. Autrement dit, il suffit d’ouvrir un document vérolé sur le web pour se faire pirater son ordinateur. On comprend mieux l’urgence de la situation.

https://twitter.com/hdmoore/status/1103303221739687936

Pour mettre à jour Chrome, il suffit d’aller dans « Aide → A propos de Google Chrome ». Le navigateur va automatiquement vérifier si une mise à jour est disponible et, le cas échéant, l’installer. Pour être protégé, il faut que le numéro de version soit supérieur ou égal à 72.0.3626.121.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN