Deux graves vulnérabilités zero-day dans Chrome
Google vient de publier une mise à jour d'urgence pour son navigateur Chrome afin de corriger deux graves vulnérabilités de sécurité, dont une vulnérabilité zero-day activement exploitée par des pirates informatiques.
Les experts en cybersécurité avertissent que des milliards d’utilisateurs dans le monde risquent de voir leurs données sensibles divulguées, notamment leurs jetons de session, leurs cookies et leurs identifiants de connexion.
Deux vulnérabilités critiques : exploitation dans le monde réel et fuite de données
La première vulnérabilité, identifiée comme CVE-2025-5419 , existe dans le moteur V8 - le processeur JavaScript et WebAssembly de Chrome.
Selon une annonce officielle de Google, cette vulnérabilité permet aux attaquants d'effectuer des opérations de lecture et d'écriture au-delà de la zone mémoire allouée, ouvrant la possibilité d'exécution à distance de code malveillant.
En réalité, il suffisait à un utilisateur de visiter un site web contenant le code d'exploitation pour qu'un attaquant prenne le contrôle de son navigateur ou de son appareil. Google a confirmé que la vulnérabilité était exploitée avant même d'être rendue publique, ce qui en fait l'une des menaces de cybersécurité les plus inquiétantes du premier semestre de cette année.
La deuxième vulnérabilité, CVE-2025-4664 , concerne la façon dont le navigateur gère les en-têtes HTTP et la politique de référencement lors du chargement des sous-ressources. Selon les chercheurs, un attaquant pourrait exploiter cette faiblesse pour collecter des informations sensibles via l'URL, notamment des jetons d'accès OAuth, des identifiants de session et des paramètres contenant des données privées.
Plus dangereux encore, ce mécanisme d’attaque peut se produire silencieusement, sans nécessiter aucune action de la part de l’utilisateur autre que la visite d’un site Web infecté.
Alerte et réponse mondiales de Google
La réponse de Google après l'incident
Peu de temps après la découverte des vulnérabilités, Google a publié les mises à jour de sécurité correspondantes : les versions 137.0.7151.68/.69 pour Windows, Linux et macOS pour corriger CVE-2025-5419, et les versions 136.0.7103.113/.114 pour corriger CVE-2025-4664.
Les agences de cybersécurité comme la CISA américaine et le CERT-In indien ont simultanément émis des avertissements urgents, demandant aux utilisateurs et aux organisations de mettre à jour immédiatement leur navigateur Chrome pour éviter d'être victimes des attaques en cours.
Risques pour les utilisateurs individuels et professionnels
Les experts en sécurité affirment que ces deux vulnérabilités peuvent être exploitées pour voler des informations personnelles, prendre le contrôle des navigateurs et même ouvrir la voie à des attaques à plus grande échelle telles que l'installation de logiciels malveillants, l'espionnage ou le cryptage de données contre rançon.
Alors que le temps nécessaire pour exploiter une vulnérabilité passe de quelques jours à quelques heures seulement après la publication de l’information, des mises à jour logicielles en temps opportun sont essentielles.
Même si le temps d'exploitation est presque immédiat après la découverte de la vulnérabilité , les attaquants peuvent lancer du code malveillant en quelques heures seulement, créant une pression énorme sur les systèmes qui n'ont pas eu le temps de se mettre à jour.
Comment prévenir et protéger les données
Des milliards d'utilisateurs de Chrome doivent mettre à jour leur navigateur maintenant
Pour les utilisateurs individuels, il est conseillé de consulter la section « À propos de Google Chrome » de l'aide pour vérifier la version et mettre à jour le navigateur immédiatement (Accédez à Menu > Aide > À propos de Google Chrome). Après la mise à jour, redémarrez le navigateur pour vous assurer que le correctif est appliqué.
Dans le même temps, les utilisateurs doivent éviter de cliquer sur des liens suspects, en particulier provenant de courriers électroniques, de réseaux sociaux ou de sites Web non fiables.
L’utilisation de logiciels de sécurité, de filtres d’URL ou d’extensions de navigation sécurisée est également recommandée pour réduire les risques.
Pour les entreprises et les organisations qui doivent mettre à jour automatiquement Chrome sur tous les appareils de leur réseau, surveiller le trafic réseau pour détecter les anomalies et alerter en interne les employés des violations de données potentielles.
Des outils de surveillance de sécurité automatisés comme Wazuh ou des solutions sandbox peuvent également être utilisés pour détecter les exploits utilisés.
Les vulnérabilités récemment révélées montrent que la sécurité des navigateurs ne peut pas être prise à la légère, en particulier lorsque Chrome est la plateforme la plus populaire au monde aujourd'hui.
Bien que Google ait réagi rapidement en appliquant des correctifs, la responsabilité de protéger les utilisateurs finaux lui incombe en dernier ressort. À l'ère du numérique, les mises à jour logicielles régulières et la sensibilisation à la sécurité des données personnelles sont devenues la première et la plus importante ligne de défense.
Source : https://tuoitre.vn/lo-hong-zero-day-nguy-hiem-tren-google-chrome-nguoi-dung-chu-y-20250610102157359.htm
Comment (0)