Peu de temps après Google a corrigé une faille zero-day révélée publiquement dans Google Chrome , un autre est apparu sur le navigateur Web de Google. L’exploit a été repéré pour la première fois par un utilisateur de Twitter qui s’appelle «frust» (via Tom’s Guide).”Juste ici pour déposer un Chrome 0day. Oui, vous avez bien lu », a déclaré mercredi l’utilisateur de Twitter . Frust a également partagé un lien GitHub pour une page contenant du JavaScript pour une page Web de preuve de concept qui exploitera la faille. Frust a également démontré dans une vidéo YouTube que la page Web lancera le bloc-notes Windows dans Chrome ou un navigateur associé. S’il peut le faire, il peut faire tout ce que fait l’utilisateur. Le pronostiqueur a déclaré que l’exploit fonctionnait dans la version 89.0.4389.128 de Chrome, qui a été publiée le 13 avril.
La nouvelle vulnérabilité est classée dans la catégorie”zero-day »Faille parce que les développeurs de logiciels n’avaient« aucun jour »pour y remédier. Le rapport Tom’s Guide indique également que le piratage de preuve de concept fonctionne dans une version entièrement patches de Microsoft Edge. Il a également déclaré que d’autres navigateurs basés sur Chromium tels que Brace, Opera et Vivaldi sont également à risque. Comme pour les précédentes failles «zero-day», celle-ci est également accompagnée d’une condition: le navigateur ciblé doit avoir son sandbox désactivé. Le sandboxing est un processus qui empêche les processus malveillants d’un navigateur de s’échapper dans le système d’exploitation environnant. «Échapper» à un bac à sable est considéré comme une réussite en matière de piratage. L’exploit nouvellement découvert ne parvient pas à échapper au bac à sable.
Alors, que peuvent faire les utilisateurs pour se protéger eux-mêmes et leurs machines du zéro-défaut de jour? Actuellement, il n’y a pas grand-chose à faire pour remédier à cette faille, sauf en utilisant Firefox ou Safari à la place. Cependant, il est peu probable que des pirates malveillants utilisent cette faille pour attacher Chrome ou Edge à court terme. Google avait corrigé la faille précédente du jour zéro en six jours, par conséquent, on peut s’attendre à ce que l’entreprise fasse quelque chose à ce sujet dans un délai similaire.
Lisez toutes les Dernières actualités et Dernières nouvelles ici
