« Il existe des rapports faisant état d’une vulnérabilité zero-day dans le moteur JavaScript V8 utilisé par Google Chrome et Microsoft Edge (Chromium). Cette vulnérabilité a été révélée sur les réseaux sociaux le 12 avril, mais semble être la même faille qui a été signalée lors du concours Pwn2Own organisé plus tôt ce mois-ci. La vulnérabilité connue a été corrigée dans le moteur V8, mais n’a pas encore été corrigée dans Chrome et Edge.

Bien qu’il soit préoccupant que des détails sur une vulnérabilité dans les navigateurs Web populaires aient été divulgués publiquement, les raisons de s’inquiéter se dissipent lorsque l’on considère que la vulnérabilité en elle-même ne permet pas de sortir de la sandbox de Google. Cela signifie qu’un attaquant ne pourrait pas compromettre le système d’exploitation sous-jacent ou accéder à des informations confidentielles. C’est un peu comme applaudir ; il n’est pas vraiment possible de le faire avec une seule main, les deux sont nécessaires. De même, dans ce cas, un attaquant devrait enchaîner cette vulnérabilité V8 avec une deuxième vulnérabilité pour sortir de la sandbox.

Malgré cela, nous encourageons vivement les utilisateurs et les organisations à s’assurer qu’ils appliquent dès que possible des correctifs à leurs navigateurs tels que Chrome et Edge, car les navigateurs et les systèmes non corrigés sont des cibles idéales pour les cybercriminels et les groupes spécialisés en menace persistante avancée. »