CVE-2024-7971 : Comment la dernière mise à jour de Chrome de Google vous protège contre les exploits actifs

CVE-2024-7971 : Comment la dernière mise à jour de Chrome de Google vous protège contre les exploits actifs
22 août 2024

Une faille très grave dans le navigateur Chrome de Google, qui a été activement exploitée, a été corrigée par des mises à jour de sécurité récemment publiées par la société. La vulnérabilité, CVE-2024-7971, s'est avérée être un problème de confusion de types dans le moteur JavaScript et WebAssembly V8.

Base de données nationale sur les vulnérabilités (NVD) du National Institute of Standards and Technology (NIST) rapporté qui génère une confusion dans la V8 antérieure à la version 128.0.6613.84 de Google Chrome, un attaquant distant pourrait exploiter la corruption du tas via une page HTML spécialement conçue.

Le 19 août 2024, la faille a été découverte et signalée par le Microsoft Threat Intelligence Center (MSTIC) et le Microsoft Security Response Center (MSRC). Cependant, des détails spécifiques sur les attaques qui ont exploité cette faille ou sur l'identité des auteurs de la menace n'ont pas encore été divulgués. Google donne la priorité à s'assurer que la plupart des utilisateurs ont mis à jour leur navigateur avec le correctif.

Google a reconnu la connaissance d'un exploit pour CVE-2024-7971 dans une brève déclaration, qui est actuellement actif dans la nature. Il s'agit du troisième cas de vulnérabilité de confusion de types dans la V8 que Google a résolu cette année, les vulnérabilités précédentes étant CVE-2024-4947 et CVE-2024-5274.

Au total, Google a reconnu neuf vulnérabilités zero-day dans Chrome depuis début 2024, dont trois démontrées lors de Pwn2Own 2024 :

- CVE-2024-0519 : Accès mémoire hors limites dans la V8

- CVE-2024-2886 : Utilisation après libération dans WebCodecs (démonstration à Pwn2Own 2024)

- CVE-2024-2887 : Confusion de types dans WebAssembly (démonstration à Pwn2Own 2024)

- CVE-2024-3159 : Accès mémoire hors limites dans la V8 (démonstration à Pwn2Own 2024)

- CVE-2024-4671 : Utilisation après libération dans les visuels

- CVE-2024-4761 : Écriture hors limites en V8

- CVE-2024-4947 : Confusion de types dans la V8

- CVE-2024-5274 : Confusion de types dans la V8

Il est recommandé aux utilisateurs de mettre à jour leur navigateur Chrome vers la version 128.0.6613.84/.85 pour Windows et macOS et la version 128.0.6613.84 pour Linux afin d'atténuer tout risque potentiel. Cela s'applique également à ceux qui utilisent des navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi, et les mises à jour doivent être appliquées dès qu'elles sont disponibles.

Aperçu

À propos

Cours

Mentions légales

CONTACTEZ-NOUS

SUIVEZ-NOUS:

Code Labs Academy © 2025 Tous droits réservés.