Une nouvelle vulnérabilité RCE affectant le canal Dev de Google Chrome
Une vulnérabilité critique d'exécution de code à distance récemment corrigée dans le moteur JavaScript et WebAssembly V8 des navigateurs Google Chrome et Chromium, elle peut permettre à un acteur de la menace d’exécuter un code arbitraire dans le contexte du navigateur.
La faille a été signalée par le chercheur en sécurité Weibo Wang, qui a identifié le problème comme étant un cas de use-after-free affectant le composant d'optimisation des instructions dans la version Dev channel de Chrome 101.
"Cette vulnérabilité se produit dans l'étape de sélection des instructions, où la mauvaise instruction a été sélectionnée, ce qui entraîne une exception d'accès à la mémoire", a déclaré Wang.
La vulnérabilité est surtout préoccupante car elle peut être exploitée à distance via un site web spécialement conçu pour contourner les restrictions de sécurité et exécuter du code arbitraire afin de compromettre les systèmes ciblés.
Google a corrigé le problème discrètement et n'a pas encore divulgué la vulnérabilité via le portail de suivi des bogues de Chromium. De plus, la société n'attribue pas d'ID CVE pour les vulnérabilités découvertes dans les canaux non stables de Chrome.
Les utilisateurs de Chrome, en particulier les développeurs qui utilisent l'édition Dev de Chrome doivent effectuer une mise à jour vers la dernière version disponible du logiciel.