Mettre à jour. Maintenant. Cette minute. N'y allez pas tant que vous ne l'avez pas fait. C'était le message insistant de Google jeudi. Un exploit Zero-Day était en jeu contre le navigateur Chrome et les utilisateurs n'avaient aucune marge de manœuvre pour l'ignorer jusqu'à ce qu'ils soient de meilleure humeur.

D'ici jeudi, Fossbytes , ZDNet et d'autres sites de veille technologique étaient partout dans l'histoire. Chrome est un navigateur extrêmement populaire et Google réussit assez bien à se démarquer en tant que gardien relativement sûr de Chrome. Ainsi, toute histoire à l'effet contraire faisait l'actualité instantanément.

Vous étiez en sécurité si votre vérification de mise à jour pour voir si vous aviez la dernière version apparaissait en tant que version 72.0.3626.121.

Qui avait découvert la faille de sécurité CVE-2019-5786 ? Clément Lecigne du groupe d'analyse des menaces de Google a été nommé.

Lecigne a écrit sur le blog de sécurité de Google. "Pour remédier à la vulnérabilité Chrome (CVE-2019-5786), Google a publié une mise à jour pour toutes les plateformes Chrome le 1er mars; cette mise à jour a été transmise via la mise à jour automatique de Chrome. Nous encourageons les utilisateurs à vérifier que la mise à jour automatique de Chrome a déjà mis à jour Chrome vers 72.0.3626.121 ou une version ultérieure."

Donc, ils parlaient du genre d'exploit "dans la nature, " inconnu, sans patch, capable de déclencher des complications.

Comme Kaspersky Lab explique la signification du jour zéro, "Habituellement, les créateurs de programmes créent rapidement un correctif qui améliore la protection du programme, cependant, Parfois, les pirates entendent parler de la faille en premier et l'exploitent rapidement. Quand cela arrive, il y a peu de protection contre une attaque parce que la faille logicielle est si nouvelle."

Ou, comme Sécurité nue le met, il s'agit « d'une vulnérabilité que les méchants ont trouvé comment exploiter avant que les gentils ne puissent la trouver et la corriger eux-mêmes, où « même les administrateurs système les mieux informés n'avaient aucun jour pendant lequel ils auraient pu corriger de manière proactive ».

Ce n'était pas une expérience amusante; Google était au courant de la vulnérabilité exploitée dans la nature. Andrew Whalley a tweeté, Prenez un moment pour vérifier que vous utilisez la dernière version de Chrome.

Justin Schuh, Responsable sécurité Google Chrome, faisait également sonner la trompette pour que les utilisateurs de Chrome vérifient la mise à jour. Son tweet du 5 mars était une annonce publique que nous ne jouons pas :"... sérieusement, mettez à jour vos installations Chrome... comme tout de suite." Pourquoi, quelle est la précipitation? Parce que Chrome Zero-Day faisait l'objet d'attaques actives. Catalin Cimpanu dans ZDNet a déclaré que le bogue corrigé faisait l'objet d'attaques actives au moment du correctif.

Adash Verma dans Fossbytes mentionné, "Bien que les détails soient rares, nous savons que la faille concerne la gestion de la mémoire dans le lecteur de fichiers de Chrome, qui est une API qui permet aux applications Web de lire le contenu des fichiers stockés sur les ordinateurs des utilisateurs."

Schuh a tweeté :"Ce nouvel exploit est différent, dans cette chaîne initiale ciblant directement le code Chrome, et exigeait donc que l'utilisateur ait redémarré le navigateur après le téléchargement de la mise à jour."

A quel niveau était la menace CVE-2019-5786 ? il a été étiqueté comme « élevé ». ZDNet a déclaré que Google a décrit la faille de sécurité comme une erreur de gestion de la mémoire dans FileReader de Google Chrome, une API Web qui permet aux applications Web de lire le contenu des fichiers stockés sur l'ordinateur de l'utilisateur.

Voici ce qu'Abner Li a expliqué dans 9to5Google . "Cette attaque particulière implique l'API FileReader qui permet aux sites Web de lire des fichiers locaux, tandis que la classe de vulnérabilités « Use-after-free » permet, au pire, l'exécution de code malveillant."

Qu'est-ce que ça veut dire, vulnérabilité utilisation-après-libre ? Un type d'erreur de mémoire se produit lorsqu'une application essaie d'accéder à la mémoire après avoir été libérée/supprimée de la mémoire allouée de Chrome, dit Cimpanu. Il a ajouté que le flux impliquait une erreur de gestion de la mémoire dans FileReader de Google Chrome. Cimpanu a déclaré que l'API Web était incluse dans les principaux navigateurs grâce auxquels les applications Web lisent le contenu des fichiers stockés sur l'ordinateur de l'utilisateur.

Il a déclaré qu'une mauvaise gestion de ce type d'opération d'accès mémoire peut conduire à l'exécution de code malveillant.

Long et court, Google a sorti un correctif pour le défaut du jour zéro. Long et court, un correctif a déjà été publié

Google a déclaré que "L'accès aux détails du bogue et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soient mis à jour avec un correctif. Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont dépendent d'autres projets de la même manière, mais pas encore corrigé."

Dans la plus grande image de sécurité du navigateur, les observateurs technologiques continueront probablement de considérer Chrome comme l'un des plus sûrs du marché. DataHand a souligné que "Le géant des moteurs de recherche a investi beaucoup de ressources dans la sécurisation du navigateur ces dernières années et il n'y a pas eu beaucoup de failles de sécurité."

Néanmoins, l'environnement de sécurité doit survivre sur une règle cardinale :ne jamais dire jamais à la possibilité de nouvelles attaques. Quel navigateur est totalement infaillible ? La peine de regarder, bien que, C'est à quel point les propriétaires de navigateurs peuvent être habiles à faire face aux menaces et à proposer des solutions.

Ryan Whitwam, Technologie extrême :« Les navigateurs contiennent tellement de nos vies numériques maintenant que toute vulnérabilité est potentiellement désastreuse. Heureusement, il est très rare que des individus en ligne malveillants détectent une vulnérabilité grave avant Google ou en dehors de la sécurité des chercheurs ... C'est le groupe d'analyse des menaces de Google qui a détecté la faille dans Chrome le 27 février. "

© 2019 Réseau Science X