Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Faille zero-day dans Chrome - commentaire de Tenable

avril 2021 par Satnam Narang, Principal Research Engineer, chez Tenable

Lundi 12 avril 2021, le chercheur en sécurité Rajvardhan Agarwal a tweeté pour diffuser une faille zero-day dans Chrome, en partageant une preuve de concept (PoC) dans un dépôt GitHub.

Satnam Narang, Principal Research Engineer chez Tenable, a fait le commentaire suivant :

« Il existe des rapports faisant état d’une vulnérabilité zero-day dans le moteur JavaScript V8 utilisé par Google Chrome et Microsoft Edge (Chromium). Cette vulnérabilité a été révélée sur les réseaux sociaux le 12 avril, mais semble être la même faille qui a été signalée lors du concours Pwn2Own organisé plus tôt ce mois-ci. La vulnérabilité connue a été corrigée dans le moteur V8, mais n’a pas encore été corrigée dans Chrome et Edge.

Bien qu’il soit préoccupant que des détails sur une vulnérabilité dans les navigateurs Web populaires aient été divulgués publiquement, les raisons de s’inquiéter se dissipent lorsque l’on considère que la vulnérabilité en elle-même ne permet pas de sortir de la sandbox de Google. Cela signifie qu’un attaquant ne pourrait pas compromettre le système d’exploitation sous-jacent ou accéder à des informations confidentielles. C’est un peu comme applaudir ; il n’est pas vraiment possible de le faire avec une seule main, les deux sont nécessaires. De même, dans ce cas, un attaquant devrait enchaîner cette vulnérabilité V8 avec une deuxième vulnérabilité pour sortir de la sandbox.

Malgré cela, nous encourageons vivement les utilisateurs et les organisations à s’assurer qu’ils appliquent dès que possible des correctifs à leurs navigateurs tels que Chrome et Edge, car les navigateurs et les systèmes non corrigés sont des cibles idéales pour les cybercriminels et les groupes spécialisés en menace persistante avancée. »




Voir les articles précédents

    

Voir les articles suivants