Google Chrome, Edge : un hacker peut pirater votre PC grâce à cette faille !

Google Chrome, Edge et l’ensemble des navigateurs sous le moteur de rendu Chromium abritent une faille de sécurité critique extrêmement dangereuse.

Après les failles de sécurité repérées sur Zoom, c’est au tour de Google Chrome et de tous les navigateurs sous Chromium d’être victimes de deux vulnérabilités inquiétantes. En effet, le chercheur en sécurité informatique Rajvardhan Agarwal a déniché deux failles « zero day » au sein de Chrome, de Microsoft Edge et de tous les navigateurs qui sont basés sur Chromium

Pour rappel, Chromium est un navigateur Web libre qui sert de base à de nombreux navigateurs open-source et propriétaires comme Microsoft Edge, Google Chrome, Opera ou encore Yandex. D’après les informations du chercheur, ces vulnérabilités inédites permettraient à un attaquant d’exécuter du code malveillant à distance sur votre PC.

Selon les informations du chercheur, la première faille se trouve donc dans le moteur de rendu Blink tandis que l’autre se cache dans le moteur JavaScript V8. Il faut préciser que ces deux vulnérabilités sont des failles zero day, en d’autres termes, elle n’ont jamais été détectées auparavant et imposent donc à Google de trouver comment les corriger.

Précisons que la première faille a été découverte lors d’un concours de hacking appelé Pwn2Own. L’équipe de l’entreprise DataFlow Security a en effet obtenu le gros lot (100 000 $) en mettant la main sur cette vulnérabilité. La seconde a quant à elle été mise en lumière par Argawal, qui d’ailleurs publié sur Twitter une démonstration dans laquelle il exploite la faille en question. On le voit démarrer la calculatrice d’un PC à distance, en passant par le navigateur Web seulement.

À lire également : Le malware Joker infecte 500 000 appareils Huawei !

Google travaille sur un correctif

Alors que Google avait rapidement corrigé la faille détectée lors du concours, cette seconde vulnérabilité a pris de court le géant du Web. De fait, la faille repérée dans le moteur Javascript V8 persiste toujours et n’a pas été corrigée par le patch diffusée par Google ce mercredi 14 avril 2021. « Même si les deux failles sont de nature différente, elles peuvent être exploitées pour obtenir un RCE dans le processus de rendu. Je soupçonne que le premier correctif a été publié avec la mise à jour Chrome en raison de l’exploit publié, mais comme le second correctif n’a pas été appliqué à Chrome, il peut être encore exploité », précise Argawal.

Pour rappel, RCE est l’acronyme pour Remote Code Execution, terme utilisé lorsqu’un hacker peut exécuter du code malveillant à distance sur un PC cible. Google a assuré être au courant de l’existence de ces failles et la firme compte déployer un patch dans les jours à venir.

Source : The Hacker News


Laisser un commentaire