Les utilisateurs de Google Chrome ont été frappés par une série d’avertissements de mise à jour ces dernières semaines ; deux vulnérabilités récentes, toutes deux confirmées comme étant activement exploitées, ont incité le gouvernement américain à mettre à jour ou à cesser d’utiliser Chrome d’ici le 18 septembre. Maintenant que ce délai expire, il existe une nouvelle version de sécurité avec un avertissement pour que les utilisateurs mettent à jour pour s’assurer que leurs navigateurs sont protégés contre toute tentative d’exploitation future.

Le dernier avis de Google met à jour son canal de bureau stable pour Windows et Mac 129.0.6668.58/.59avec plusieurs risques corrigés. Le correctif le plus sérieux concerne une vulnérabilité de mémoire de type confusion de gravité élevée. Bien qu’il n’y ait pas d’avertissements d’attaque actifs cette fois-ci, est le genre de problème souvent exploité. Comme toujours, aucun détail important n’est divulgué à ce stade, les utilisateurs étant invités à mettre à jour.

Il existe également trois correctifs de gravité moyenne à noter.

CVE-2024-8904 élevé : confusion de type dans V8.

Medium CVE-2024-8905 : implémentation inappropriée dans V8.

Medium CVE-2024-8906 : interface utilisateur de sécurité incorrecte dans les téléchargements.

Moyen CVE-2024-8907 : Validation des données insuffisante dans Omnibox.

Les 2 milliards d’utilisateurs de Chrome sur ordinateur de bureau devraient tous avoir mis à jour leur navigateur au cours des dernières semaines pour se protéger contre les menaces beaucoup plus graves qui ont poussé l’agence de cybersécurité du gouvernement américain à émettre son mandat de mise à jour. Bien que la directive de la CISA ne s’applique formellement qu’au personnel fédéral, toutes les organisations devraient suivre son exemple compte tenu de son un mandat plus large pour protéger l’industrie des menaces connues et guider ses cyberdéfenses.

La CISA indique que l’objectif de ses mandats est de « maintenir la source fiable des vulnérabilités qui ont été exploitées dans la nature. Les organisations doivent utiliser le catalogue KEV comme une entrée dans leur cadre de priorisation de la gestion des vulnérabilités. »

Comme avec cette nouvelle mise à jour, les menaces les plus graves étaient aussi des risques de mémoire. Une « implémentation inappropriée » et une « confusion de type » dans le moteur V8. La première a été publiée le 21 août, lorsque Google a averti que la vulnérabilité CVE-2024-7971 était activement exploitée dans la nature. La seconde est survenue une semaine plus tard, lorsque Chrome a mis à jour une autre vulnérabilité, CVE-2024-7965, confirmant qu’elle était également attaquée.

La mise à jour de sécurité de cette semaine est la troisième depuis que ces failles zero-day ont été confirmées, les autres ayant été publiées respectivement les 2 et 10 septembre. Tout comme cette semaine, les deux ont corrigé des risques de gravité élevée, mais sans dévoiler de nouveaux exploits.

La dernière mise à jour devrait être téléchargée automatiquement et les utilisateurs peuvent vérifier qu’elle l’a fait dans les paramètres de leur navigateur. Le redémarrage de Chrome garantira qu’il s’installe correctement.