Google a publié des mises à jour de sécurité d'urgence concernant CVE20265281, un jour zéro de haute sévérité (CVSS score : N/A), activement exploité, affectant son navigateur Chrome.

Vue d'ensemble

Il s'agit d'une vulnérabilité de type UseAfterFree (UAF) dans le composant Dawn WebGPU, qui permet l'exécution de code à distance via des pages HTML élaborées lorsqu'un attaquant a déjà compromis le processus de rendu. Google a confirmé l'exploitation de la vulnérabilité dans la nature et a délibérément caché des détails techniques plus approfondis pour empêcher une plus grande militarisation.

Détails de la vulnérabilité :

• CVE ID : CVE20265281
• Type : Corruption de mémoire UseAfterFree (CWE416)
• Composant : Dawn - implémentation WebGPU
• Impact :
  • Exécution de code à distance (compromission du postrenderer) via un code HTML élaboré.
  • Contournement des limites de sécurité

Gravité : élevée

Description :

La vulnérabilité apparaît lorsque le composant Dawn WebGPU de Chrome gère incorrectement les références mémoire après leur libération. Les attaquants peuvent exploiter les pointeurs pendants pour exécuter du code malveillant ou escalader leur position.

• Windows/macOS : 146.0.7680.177 / 146.0.7680.178
• Linux : 146.0.7680.177
• Microsoft Edge
• Vivaldi
• Brave
• Opera

Activité d'exploitation :

Google a explicitement confirmé que l'exploitation est active dans la nature.

Les chercheurs en sécurité soulignent que ce jourzéroest utilisé dans des attaques en cours, ce qui met en évidence l'urgence de l'application immédiate des correctifs.

Versions concernées :

La vulnérabilité affecte les versions de Google Chrome antérieures à:

Les autres navigateurs basés sur Chromium sont également vulnérables jusqu'à ce que leurs mises à jour respectives soient publiées, y compris :

Conseils sur les correctifs et les mesures d'atténuation

Appliquer immédiatement les mises à jour de sécurité de Chrome

Google a publié des versions mises à jour de Chrome pour toutes les principales plates-formes de bureau. Les utilisateurs doivent procéder à la mise à jour en se rendant à l'adresse suivante

Menu Chrome → Aide → À propos de Google Chrome → Relancer pour mettre à jour

Les utilisateurs d'autres navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera et Vivaldi, sont également invités à appliquer les correctifs dès qu'ils seront disponibles.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte ou prendre contact avec luipour savoir comment vous pouvez protéger votre organisation.