Google a révélé aujourd'hui qu'il avait corrigé la dixième faille zero-day exploitée dans le web en 2024 par des attaquants ou des chercheurs en sécurité lors de concours de piratage.

Repérée sous le nom de CVE-2024-7965 et signalée par un chercheur en sécurité connu uniquement sous le nom de TheDog, la vulnérabilité de haute sévérité désormais corrigée est causée par un bug dans le backend du compilateur lors de la sélection des instructions à générer pour la compilation juste à temps (JIT).

Google décrit la vulnérabilité comme une implémentation inappropriée dans le moteur JavaScript V8 de Google Chrome qui peut permettre à des attaquants distants d'exploiter la corruption du tas via une page HTML conçue.

Cette annonce a été faite dans une mise à jour d'un billet de blog où la société a révélé la semaine dernière qu'elle avait corrigé une autre vulnérabilité zero-day de haute sévérité (CVE-2024-7971) causée par une faiblesse de confusion de type V8.

« Mise à jour le 26 août 2024 pour refléter l'exploitation sauvage de CVE-2024-7965 qui a été signalée après cette version », a déclaré la société dans la mise à jour d'aujourd'hui. « Google est conscient que des exploits pour CVE-2024-7971 et CVE-2024-7965 existent dans la nature.

Google a corrigé ces deux failles dans la version 128.0.6613.84/.85 de Chrome pour les systèmes Windows/macOS et dans la version 128.0.6613.84 pour les utilisateurs de Linux, qui a été distribuée à tous les utilisateurs dans le canal Stable Desktop depuis mercredi.

Même si Chrome se met automatiquement à jour lorsque des correctifs de sécurité sont disponibles, vous pouvez également accélérer ce processus et appliquer les mises à jour manuellement en vous rendant dans le menu Chrome > Aide > À propos de Google Chrome, en laissant la mise à jour se terminer et en cliquant sur le bouton « Relancer » pour l'installer.

Google a confirmé que les vulnérabilités CVE-2024-7971 et CVE-2024-7965 ont été utilisées dans le web, mais n'a pas encore donné plus d'informations sur ces attaques.

« L'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soit mise à jour avec un correctif », explique Google.

« Nous maintiendrons également des restrictions si le bogue existe dans une bibliothèque tierce dont dépendent d'autres projets, mais qui n'a pas encore été corrigée. »