Google a récemment publié un code d’exploitation pour une vulnérabilité non corrigée dans Chromium. Cela menace des millions d’utilisateurs de Chrome, Edge et d’autres navigateurs basés sur Chromium.
Le mercredi, Google a alerté la communauté sur la publication d’un code d’exploitation pour une vulnérabilité non corrigée dans son code de base Chromium, affectant des millions d’utilisateurs de navigateurs tels que Chrome et Microsoft Edge. Cette faille exploite l’interface de programmation Fetch du navigateur, une norme permettant le téléchargement en arrière-plan de fichiers lourds comme les vidéos. Un attaquant peut tirer parti de cette vulnérabilité pour surveiller certains aspects de l’utilisation du navigateur d’un utilisateur ou pour se faire passer pour un intermédiaire lors de la visite de sites web, et même lancer des attaques par déni de service (DDoS). Ce qui rend cette situation d’autant plus préoccupante, c’est que la vulnérabilité est restée non corrigée pendant 42 mois, et ce, sans solution en vue.
L’exploit peut être activé par n’importe quel site web que l’utilisateur visite, ce qui signifie que toute personne susceptible de tomber sur un site malveillant pourrait voir son appareil compromis. En pratique, cela revient à créer une porte dérobée limitée, transformant ainsi un appareil en un membre d’un botnet restreint. Les capacités de l’attaquant se limitent à ce qu’un navigateur peut faire, comme visiter des sites malveillants, permettre une navigation proxy anonyme pour d’autres, activer des attaques DDoS par proxy et surveiller l’activité des utilisateurs. Cependant, cette vulnérabilité pourrait permettre à un attaquant d’intégrer des milliers, voire des millions, d’appareils dans un réseau. Une fois qu’une autre vulnérabilité sera découverte, l’attaquant pourrait alors compromettre tous ces appareils.
Les entreprises et les utilisateurs doivent donc redoubler de prudence et rester vigilants face à cette menace. Il est essentiel que les développeurs de navigateurs prennent des mesures pour corriger rapidement cette vulnérabilité afin de protéger leurs utilisateurs contre d’éventuels abus. Les utilisateurs sont également encouragés à garder leurs navigateurs à jour et à adopter des pratiques de sécurité rigoureuses pour minimiser les risques associés à cette faille importante.