Google a publié une mise à jour de sécurité pour corriger une vulnérabilité critique dans le navigateur « Google Chrome », identifiée sous le code CVE-2024-10487, suite à un signalement de l’équipe d’ingénierie et de sécurité des informations d’Apple (SEAR) le 23 octobre 2024.
La vulnérabilité réside dans un défaut de type « out-of-bounds write » dans l’exécution de « Dawn », un projet open source utilisé pour mettre en œuvre la norme WebGPU sur différentes plateformes. Dawn est le composant principal sur lequel repose l’interface WebGPU dans le navigateur Chromium, qui est également utilisé dans Google Chrome.
À ce jour, aucune confirmation officielle n’existe quant à un éventuel exploit de cette vulnérabilité dans des attaques réelles.
En plus de cette vulnérabilité, Google a également corrigé une autre faille de sécurité majeure, suivie sous le code CVE-2024-10488, de type « use-after-free », qui se trouve dans le cadre WebRTC. Celle-ci a été signalée par le chercheur en cybersécurité Cassidy Kim (@cassidy6564) le 18 octobre 2024.
Les corrections ont été intégrées dans la nouvelle mise à jour du navigateur Chrome version 130, disponible comme suit :
– Version 130.0.6723.91/.92 pour les systèmes Windows et Mac
– Version 130.0.6723.91 pour Linux
– La canal « Extended Stable » a également été mis à jour vers la version 130.0.6723.92 pour Windows et Mac.
Google a déclaré dans son communiqué : « Comme d’habitude, les détails des vulnérabilités et les liens vers celles-ci sont restreints jusqu’à ce que la mise à jour soit déployée pour la majorité des utilisateurs, afin de garantir la sécurité. »
Il est à noter que le navigateur Google Chrome est un objectif principal des cyberattaques, souvent exploité par les attaquants à travers des failles de type « zero-day ». En août dernier, Google avait publié une mise à jour de sécurité pour corriger une nouvelle vulnérabilité critique identifiée sous le code CVE-2024-7965, classée à 8.8 sur l’échelle CVSS, qui était activement exploitée. Cette vulnérabilité résultait d’une « exécution inappropriée » dans le moteur JavaScript connu sous le nom de V8 à l’intérieur de Chrome.
