Google a publié des mises à jour de sécurité d'urgence concernant CVE20265281, un jour zéro de haute sévérité (CVSS score : N/A), activement exploité, affectant son navigateur Chrome.
Il s'agit d'une vulnérabilité de type UseAfterFree (UAF) dans le composant Dawn WebGPU, qui permet l'exécution de code à distance via des pages HTML élaborées lorsqu'un attaquant a déjà compromis le processus de rendu. Google a confirmé l'exploitation de la vulnérabilité dans la nature et a délibérément caché des détails techniques plus approfondis pour empêcher une plus grande militarisation.
Gravité : élevée
La vulnérabilité apparaît lorsque le composant Dawn WebGPU de Chrome gère incorrectement les références mémoire après leur libération. Les attaquants peuvent exploiter les pointeurs pendants pour exécuter du code malveillant ou escalader leur position.
Google a explicitement confirmé que l'exploitation est active dans la nature.
Les chercheurs en sécurité soulignent que ce jourzéroest utilisé dans des attaques en cours, ce qui met en évidence l'urgence de l'application immédiate des correctifs.
La vulnérabilité affecte les versions de Google Chrome antérieures à:
Les autres navigateurs basés sur Chromium sont également vulnérables jusqu'à ce que leurs mises à jour respectives soient publiées, y compris :
Appliquer immédiatement les mises à jour de sécurité de Chrome
Google a publié des versions mises à jour de Chrome pour toutes les principales plates-formes de bureau. Les utilisateurs doivent procéder à la mise à jour en se rendant à l'adresse suivante
Menu Chrome → Aide → À propos de Google Chrome → Relancer pour mettre à jour
Les utilisateurs d'autres navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera et Vivaldi, sont également invités à appliquer les correctifs dès qu'ils seront disponibles.
Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte ou prendre contact avec luipour savoir comment vous pouvez protéger votre organisation.