Chrome : mise à jour urgente après une faille élevée dans Safe Browsing
Chrome : mise à jour urgente après une faille élevée dans Safe Browsing
Google a corrigé en urgence une vulnérabilité de gravité élevée affectant Safe Browsing, le mécanisme de protection intégré à Chrome depuis 2005. Safe Browsing avertit les utilisateurs des sites malveillants et des téléchargements dangereux afin d’empêcher les tentatives de phishing et l’installation de logiciels malveillants.
Une faille » use-after-free » exploitant une page piégée
La vulnérabilité provient d’un problème de gestion mémoire dit » use-after-free » : le navigateur tente d’accéder à une zone mémoire déjà libérée. En exploitant ce dysfonctionnement, un attaquant pourrait exécuter du code malveillant sur l’ordinateur de la victime.
Pour que l’attaque réussisse, le pirate doit rediriger l’internaute vers une page web spécialement conçue. Google précise que la victime n’a pas besoin d’interagir volontairement avec la page : il suffit que l’utilisateur charge la page piégée pour que l’attaque puisse commencer, ce qui rend la faille particulièrement préoccupante.
Mise à jour de sécurité et recommandations
Alerté par des chercheurs dans le cadre de son programme de bug bounty, Google a déployé un correctif qui modifie le code du module Safe Browsing afin d’empêcher tout accès à une zone mémoire déjà libérée. Selon l’éditeur, le correctif empêche désormais l’exploitation connue de cette vulnérabilité.
Google a choisi de rester discret sur les détails techniques tant que la majorité des utilisateurs n’auront pas installé le correctif, afin de limiter le risque de reproduction de l’attaque.
Que faire ?
- Installez la mise à jour recommandée : 141.0.7390.107 pour Linux, et 141.0.7390.107/.108 pour Windows et macOS.
- Pour mettre à jour Chrome : ouvrez le menu » À propos de Google Chrome « , puis cliquez sur » Relancer » pour finaliser l’installation.
- Activez les mises à jour automatiques pour recevoir rapidement les correctifs futurs et maintenir votre navigateur à jour.
Ces précautions réduisent le risque d’exploitation, notamment face à des pages web piégées qui n’exigent aucune action de la part de l’utilisateur.
Articles connexes
Cyberattaque La Poste : Impact et Enquête sur la panne DDoS
La Poste a été victime d’une cyberattaque de type DDoS. Découvrez l’impact sur les services, l’enquête en cours et les mesures à prendre si vous êtes affecté.
Cyberattaque La Poste : Services en ligne hors service, distribution perturbée
La Poste a été victime d’une cyberattaque de type déni de service. Les services en ligne sont inaccessibles et la distribution perturbée. Détails et impact.
CISA : ce ne sont pas Signal et WhatsApp qui sont ‘cassés’ mais les téléphones ciblés
CISA : ce ne sont pas Signal et WhatsApp qui sont ‘cassés’ mais les téléphones ciblésLa Cybersecurity and Infrastructure Security Agency (CISA) alerte sur une campagne active visant les applications de messagerie chiffrée comme Signal et WhatsApp. Plutot que de tenter de briser le chiffrement, les attaquants compromettent les appareils et exploitent des fonctions de […]