Google vient de corriger quatre bugs de sécurité graves dans Chrome
Les vulnérabilités zero-day occupent les développeurs de Chromium depuis la sortie de la nouvelle version Chrome 128. Des chercheurs externes ont découvert quatre vulnérabilités zero-day à haut risque dans le code de Chromium, que Google vient de corriger.
L'équipe Google Chrome a publié une mise à jour pour la version stable de Google Chrome sur le blog Chrome Releases. Deux correctifs de sécurité ont concerné la bibliothèque graphique Skia (que Chrome et Chromium utilisent pour restituer les graphiques). Ils sont étiquetés CVE-2024-8198 et CVE-2024-8193, tous deux classés comme à haut risque. Les deux autres bugs ont été trouvés dans Chrome V8, le moteur qui exécute le code Javascript dans le navigateur. Les développeurs ont corrigé les problèmes V8 CVE-2024-7969 et CVE-2024-8194.
Google n'a fourni que des informations limitées sur la nature exacte de ces bugs et sur la manière dont ils peuvent être exploités. La page de mise à jour indique : « L'accès aux détails des bugs et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soient informés d'un correctif. »
Ces correctifs de sécurité sont inclus dans la dernière version de Google Chrome, la version 128. Elle est progressivement déployée pour tous, ainsi qu'un correctif de sécurité pour un bug qui a été corrigé la semaine dernière. Des chercheurs externes ont pu signaler les cinq vulnérabilités avant que des incidents de sécurité ne se produisent.
Vous pouvez vérifier si votre navigateur a déjà effectué la mise à jour automatique vers la dernière version en ouvrant les paramètres de Chrome et en vous rendant dans l'onglet À propos. L'adresse doit indiquer « 28.0.6613.113/.114 » pour les ordinateurs Windows et Mac, et « 128.0.6613.113 » sur les machines Linux. Dès que vous ouvrez l'onglet À propos, Chrome doit automatiquement télécharger la dernière version et vous proposer un bouton « Relancer » pour installer la mise à jour.
D'autres navigateurs basés sur Chromium, Brave, Microsoft Edge, Opera, DuckDuckGo et Vivaldi, n'ont pas encore reçu ces quatre correctifs de sécurité. Microsoft Edge utilise Chromium 128.0.2739.42 et Brave exécute 128.0.6613.85. La dernière mise à jour de Microsoft Edge est sortie il y a 7 jours et les notes de publication les plus récentes de Brave remontent à 5 jours. Opera utilise toujours Chromium 127.0.6533.120, sorti le 22 août.