Bulletins

Des milliards d'utilisateurs concernés par la vulnérabilité Zero-Day de Google Chrome qui permet de contourner complètement les règles de la Politique de Sécurité du Contenu (CSP)

bs1.jpg

Gal Weizman, un expert en sécurité chez PerimeterX, a récemment détecté une faille Zero-Day dans le navigateur Google Chrome lui assignant la référence CVE-2020-6519 et un niveau de criticité … . Cette faille permet aux hackers de contourner les règles de la politique de sécurité du contenu (règles CSP).

Weizman a déclaré être surpris de voir que la vulnérablité Zero-Day affectait les navigateurs basés sur Chromium tels que Chrome, Opera, Edge - sur Windows, Mac et Android. Et plus important encore, elle permet aux attaquants de contourner complètement les règles du CSP sur les versions de Chrome 73 (mars 2019) à 83 (juillet 2020).

Pour rappel, les règles CSP dictent l’approche initiale utilisée par les propriétaires de sites Web pour mettre en œuvre des politiques de sécurité des données et pour arrêter les exécutions de codes fantôme mal intentionnées sur leur site Web. Qui plus est, le problème se trouve être plutôt sérieux car Chrome est le navigateur Web le plus utilisé, comptant près de deux milliards d'utilisateurs et domine le secteur des navigateurs Web avec plus de 65% de composants.

Ainsi les experts en cybersécurité préconisent les étapes suivantes :

  • Assurez-vous que vos stratégies CSP soient correctement établies ;
  • Avec CSP, ajoutez quelques couches de sécurité supplémentaires, car le CSP seul ne suffit pas ;
  • Assurez-vous que la version de votre navigateur Chrome est 84 ou supérieure à 84.

Google a déclaré qu’ils essaient actuellement d'aider les victimes, et ont affirmé qu'ils examinaient toujours l'attaque dans son ensemble, espérant obtenir tous les liens utilisés par les attaquants.